phpMyAdmin публикува версия 4.8.4 и няколко пача, отстраняващи уязвимости към XSS, XSRF/CSRF и вмъкване на локален файл чрез функция за трансформация. Нападател би използвал тези уязвимости, за да достави на потребителя payload чрез специално създадено име на база данни / таблица, да извършва вредни SQL операции като преименуване на бази данни, създаване на нови таблици / рутинни процедури, изтриване на страници, добавяне / изтриване на потребители, актуализиране потребителски пароли, убиване на SQL процеси и т.н. или за извличане на съдържанието на локален файл.
Засегнати версии:
· phpMyAdmin весрии от 4.0 до 4.8.3 включително – XSS и вмъкване на локален файл чрез функция за трансформация;
· phpMyAdmin версии от 4.7.0 до 4.7.6 включително и 4.8.0 до 4.8.3 включително- XSRF/CSRF.
CERT България препоръчва на потребителите и администраторите да се запознаят с обявите на phpMyAdmin PMASA-2018-6, PMASA-2018-7 и PMASA-2018-8 и да преминат към phpMyAdmin 4.8.4 или да приложат препоръчаните пачове.
https://www.phpmyadmin.net/security/PMASA-2018-6/
https://www.phpmyadmin.net/security/PMASA-2018-7/
https://www.phpmyadmin.net/security/PMASA-2018-8/