พบช่องโหว่ SQL injection บน phpMyAdmin ช่องโหว่ CVE-2020-10802, CVE-2020-10803, CVE-2020-10804 รายงานโดยผู้ใช้งานทวิตเตอร์ชื่อ hoangn144_VCS, bluebird, Yutaka WATANABE
วันที่ 20 มีนาคมที่ผ่านมาได้
รายละเอียดช่องโหว่
CVE-2020-10802 (CVSS 8.0): เป็นช่องโหว่ SQL injection ที่เกิดจากการข้อผิดพลาดในการสร้างพารามิเตอร์ในขั้นตอนการค้นหาภายใน phpMyAdmin การโจมตีจะเกิดได้เมื่อผู้ใช้งานดำเนินการค้นหาด้วยการใส่อักษรพิเศษลงไปบนฐานข้อมูลหรือตารางที่ผู้โจมตีสร้างขึ้นมาเพื่อใช้ในการโจมตี
CVE-2020-10803 (CVSS 5.4): เป็นช่องโหว่ SQL injection ที่เกิดจากเรียกใช้โค้ดเพื่อจะดำเนินการแทรกข้อมูลที่สร้างขึ้นในฐานข้อมูล เมื่อผู้ใช้ทำการดึงหรือเรียกดูฐานข้อมูล จะสามารถทำการโจมตีในรูปแบบ XSS (Cross-site scripting) ได้ในการเเสดงผล
CVE-2020-10804 (CVSS 8.0): เป็นช่องโหว่ SQL injection โดยทำการดึงข้อมูล username ที่มีอยู่
และสร้าง username เพื่อหลอกให้ผู้ดูแลระบบดำเนินการบางอย่าง เช่นแก้ไขสิทธิ์ผู้ใช้งาน ช่องโหว่นี้ยังทำให้เกิดข้อผิดพลาดในการเปลี่ยนพาสเวิร์ด MySQL ของผู้ใช้
ผลกระทบ
phpMyAdmin เวอร์ชั่น 4.9.x ก่อน 4.9.5 และ เวอร์ชั่น 5.0.x ก่อน 5.0.2 ได้รับผลกระทบ
การเเก้ไข
อัปเกรด phpMyAdmin เป็นเวอร์ชั่น 4.9.5 หรือ 5.0.2 หรือใหม่กว่า
ที่มา: phpmyadmin
You must be logged in to post a comment.