Det finns en sårbarhet över CSRF (Cross-Site Request Forgery) i phpMyAdmin version 4.7.x (före version 4.7.7) genom vilken skadliga angripare kan utföra grundläggande databasåtgärder genom att lura användare att klicka på skadliga webbadresser. Denna sårbarhet har kombinerats under CVE-identifieringsetiketten CVE-2017-1000499 som också tilldelades tidigare CSRF-sårbarheter i phpMyAdmin.
Det finns fyra senaste tillägg under CVE-2017-1000499 Paraply för CSRF-sårbarhet. Dessa fyra inkluderar en sårbarhet för ändring av användarlösenordslösenord, en godtycklig sårbarhet för filskrivning, en datahämtning över sårbarheten för DNS-kommunikationskedjor och en sårbarhet för alla rader från alla tabeller. Eftersom phpMyAdmin hanterar administrationssidan av MySQL sätter dessa fyra sårbarheter hela databasen i hög risk, vilket gör att en skadlig användare kan ändra lösenord, komma åt data, radera data och utföra andra kommandon genom kodkörning.
Eftersom MySQL är ett ganska vanligt öppen källkod relationsdatabashanteringssystem, komprometterar dessa sårbarheter (tillsammans med de otaliga andra CVE-2017-100049 CSRF-sårbarheterna) upplevelsen av programvaran som har antagits väl av många företag, särskilt för dess enkla att använda och effektivt gränssnitt.
CSRF-attacker får en okunnig användare att utföra ett kommando som en skadlig angripare avser genom att klicka på den för att låta den fortsätta. Användare luras vanligtvis att tro att en viss applikation som ber om behörigheter lagras lokalt på en säker plats eller att en fil som laddas ner är vad den hävdar att b i titeln. Skadligt utformade webbadresser av detta slag får användare att utföra angriparens avsedda kommandon utan att medvetet kompromissa med systemet.
Denna sårbarhet är känd för säljaren och det är uppenbart att användaren inte kan förhindras av användaren själv, varför det krävs en uppdatering för att phpMyAdmin-programvaran ska släppas. Denna brist finns i 4.7.x-versioner före 4.7.7 vilket innebär att de som fortfarande använder äldre versioner bör omedelbart uppgradera till den senaste versionen för att mildra denna kritiska klass sårbarhet.
