安全研究人员Manuel Garcia Cardenas近日公布了最常用的管理MySQL和MariaDB数据库的应用程序phpMyAdmin中的0 day漏洞细节和PoC。 phpMyAdmin是一个用PHP编写的免费软件工具,也是用于处理MySQL或MariaDB数据库服务器的开源管理工具。phpMyAdmin被广泛用于管理用WordPress, Joomla等内容管理平台的网站的数据库。 安全研究人员称该漏洞实际上是一个CSRF漏洞,也叫做XSRF漏洞。即攻击者可以诱使认证的用户来执行恶意行为。 该漏洞CVE编号为CVE-2019-12922,攻击者利用该漏洞来删除受害者服务器上的phpMyAdmin面板上的设置页面中配置的任意服务器。但该攻击并不允许攻击者删除服务器上保存的数据库或表。 而攻击者只需要发送一个伪造的URL到目标web管理员,要求web管理员已经用相同的浏览器登入phpmyAdmin面板,这样就可以诱使用户通过点击来删除配置的服务器。Cardenas解释说,攻击者在伪造的URL中含有想要由用户执行的请求,这样由于错误使用HTTP方法使用CSRF攻击成为可能。 该漏洞利用起来非常容易,因为攻击者只需要知道目标服务器的URL就可以了,并不需要了解其他任何信息,包括数据库的name。 PoC 利用该CSRF漏洞来删除服务器的PoC代码: <p>Deleting Server 1</p> <img src=” http://server/phpmyadmin/setup/index.php?page=servers&mode=remove&id=1″ style=”display:none;” /> 该漏洞影响所有的phpMyAdmin版本,包括最新的4.9.0.1版本和今年7月发布的phpMyAdmin 5.0.0-alpha1。 研究人员其实早在2019年6月就发现了该漏洞,并很快提交该漏洞到了项目维护人员。但phpMyAdmin项目维护人员没有在90天修复该漏洞,因此研究人员决定公开该漏洞的详解和PoC代码。 研究人员建议用户通过在每次调用中实现令牌变量的验证来解决该漏洞,其他的phpMyAdmin请求也是这样做的。
原文始发于微信公众号(嘶吼专业版):CVE-2019-12922:phpMyAdmin 0 Day漏洞