phpMyAdmin публикува ъпдейти за защита – 13.12.2018

phpMyAdmin публикува версия  4.8.4 и няколко пача, отстраняващи уязвимости към XSS, XSRF/CSRF и вмъкване на локален файл чрез функция за трансформация. Нападател би използвал тези уязвимости, за да достави на потребителя payload чрез специално създадено име на база данни / таблица, да извършва вредни SQL операции като преименуване на бази данни, създаване на нови таблици / рутинни процедури, изтриване на страници, добавяне / изтриване на потребители, актуализиране потребителски пароли, убиване на SQL процеси и т.н. или за извличане на съдържанието на локален файл.

Засегнати версии:
·        phpMyAdmin весрии от 4.0 до 4.8.3 включително – XSS  и вмъкване на локален файл чрез функция за трансформация;

·        phpMyAdmin версии от 4.7.0 до 4.7.6 включително и 4.8.0 до 4.8.3 включително- XSRF/CSRF.

CERT България препоръчва на потребителите и администраторите да се запознаят с обявите на phpMyAdmin  PMASA-2018-6, PMASA-2018-7 и PMASA-2018-8 и да преминат към  phpMyAdmin 4.8.4 или да приложат препоръчаните пачове.

https://www.phpmyadmin.net/security/PMASA-2018-6/
https://www.phpmyadmin.net/security/PMASA-2018-7/
https://www.phpmyadmin.net/security/PMASA-2018-8/