Une vulnérabilité critique a été corrigée sur phpMyAdmin

Une vulnérabilité a été signalée sur les versions 4.7.x antérieures à 4.7.7 de phpMyAdmin, l'une des interfaces les plus populaires pour la gestion des bases de données MySQL. Elle permettrait à des attaquants distants de générer des liens qui, une fois cliqués par des utilisateurs authentifiés, les feraient exécuter des requêtes avec leur niveau de privilège.

 

Plus communément appelée Cross Site Scripting Forgery (CSRF), cette attaque permettrait, dans le cas où la victime cliquant sur le lien serait un administrateur, de modifier des données ou encore de supprimer complètement une table de la base de données.

 

Barot a publié une vidéo montrant l'exploitation de cette vulnérabilité à l'adresse suivante : https://youtu.be/aao8fP4uZoM

Le lien suivant explique le fonctionnement des attaques par CSRF : https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)

Informations
+

Impact

  • Atteinte de l’intégrité, la confidentialité et la disponibilité des données.

Criticité

  • CVSS v3 : 4.1 (score temporaire évalué par VulnDB)

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Les versions 4.7.x antérieures à 4.7.7 de phpMyAdmin sont affectées.

CVE

  • CVE-2017-1000499

Recommandations
+

Correctifs

Solution de contournement

  • Il n’existe pas actuellement de solution de contournement.