ثغرة CSRF على phpMyAdmin

0
اكتشاف ثغرة من نوع CSRF على نظام ادارة قواعد البيانات الشهير phpMyAdmin, 
تم الابلاغ على ثغرة جديدة على phpMyAdmin و يعتبر phpMyAdmin واحد من افضل التطبيقات على الاطلاق ل  لإدارة قاعدة بيانات MySQL, و تسمح الثغرة ب التعديل و الحذف على الجداول الموجودة ب قاعدة البيانات و يتم هاذا عن طريق خداع الادمن او مشرفي المواقع على الضغط على رابط و الرابط يقوم ب عملية خبيثة على قاعدة البيانات .
 و تم اكتشاف الشغرة من طرف باحثين في الأمن المعلوماتي من الهند  Ashutosh Barot, و الثغرة عبارة عن cross-site request forgery (CSRF)  و الاصدار المصاب هو phpMyAdmin versions 4.7.x  و تم اصلاح الثغرة في الاصدار الجديد 4.7.7 .


 و لكي يتم استغلال ثغرات Cross-site request forgery او ما تعرف ب XSRF يجب ان يقوم المهاجم ب خداع الضحية و يجبره على الضغط على احد الروابط الخبيثة و التي قد تأدي الى عواقب وخيمة مثل التعديل على الجداول او حذفها …. الخ .
و بحسب تصريحات المسؤولين على phpMyAdmin : “من خلال خداع المستخدم  و اجباره على النقر على رابط خبيث ، فمن الممكن أداء عمليات على  قاعدة البيانات دون ان تشعر  مثل حذف السجلات، dropping / اقتطاع الجداول، وما إلى ذلك”.
و يتم اسخدام phpMyAdmin في ملايين المواقع من جميع انحاء العالم و يت استخدامه على العديد من انظمة ادارة المحتوى مثل ورد برس و جوملا و الكثير من انظمة ادارة المحتوى الأخرى, وعلاوة على ذلك، تقوم الكثير من الاستضافات ب تقديم phpMyAdmin ك خدمة لعملائها ل ادارة قواعد البيانات الخاصة بهم.



و كما تشاهد ب الفيديو ب الاعلى و الذي تم نشره من قبل Barot , فانه تم حذف احد الجداول الموجودة ب قاعدة البيانات ب مجرد الضغط على الرابط .
و يرجى الملاحضة ان استغلال الثغرة ليس ب الامر السهل ابدا لانه يجب على المهاجم ان يقوم ب ايجاد اسم قاعدة الباينات للضحية لكي يقوم ب بناء رابط خبيث.
ان كنت من مستخدمي phpMyAdmin على موقعك او شركتك فيجب عليك ان تقوم ب الترقية الى الاصدار  4.7.7  الذي تم اصلاح الثغرة به .
المرجع 
https://www.phpmyadmin.net/security/PMASA-2017-9/

Leave A Reply

Your email address will not be published.