นักวิจัยปล่อยข้อมูลช่องโหว่ zero-day ใน phpMyAdmin กระทบทุกรุ่น

นักวิจัยด้านความปลอดภัยได้ทำการเปิดเผยรายละเอียดเกี่ยวกับช่องโหว่ zero-day และเผยแพร่โค้ด proof-of-concept สำหรับช่องโหว่ในตัว phpMyAdmin ซึ่งเป็นหนึ่งในแอปที่โด่งดังในการจัดการฐานข้อมูล MySQL และ MariaDB บนเว็บไซต์ เป็น opensource

นักวิจัยและนักเจาะระบบ Manuel Garcia Cardenas พบช่องโหว่ที่ทำให้โจมตีด้วยวิธีการ cross-site request forgery (CSRF) หรือที่เรารู้จักในชื่อ XSRF ซึ่งเป็นการโจมตีที่หลอกให้ผู้ใช้งานทำสิ่งที่แฮกเกอร์ต้องการโดยไม่ตั้งใจ

ช่องโหว่ดังกล่าวได้รับ CVE-2019-12922 จัดอยู่ในระดับปานกลาง เนื่องจากมีข้อจำกัดที่อนุญาตให้ผู้โจมตีลบการตั้งค่าของเซิร์ฟเวอร์ในหน้าการตั้งค่า phpMyAdmin บนเซิร์ฟเวอร์ของเหยื่อเท่านั้น ไม่สามารถใช้เพื่อลบข้อมูลบนฐานข้อมูลได้

ผู้โจมตีจะต้องส่ง URL ที่สร้างขึ้นให้ผู้ดูแลเว็บไซต์เป้าหมายที่กำลังข้าถึง phpMyAdmin อยู่บนเบราว์เซอร์เดียวกันแล้วหลอกให้พวกเขาลบการตั้งค่าของเซิร์ฟเวอร์โดยไม่รู้ตัวเพียงแค่คลิก URL

ข้อบกพร่องมีผลต่อ phpMyAdmin เวอร์ชันสูงสุดและรวมถึง 4.9.0.1 ซึ่งเป็นซอฟต์แวร์รุ่นล่าสุดในขณะนี้ และยังกระทบ phpMyAdmin 5.0.0-alpha1 ซึ่งยังอยู่ในขั้นทดสอบ

Cardenas ค้นพบช่องโหว่นี้ในเดือนมิถุนายน 2562 และรายงานความรับผิดชอบไปยังผู้ดูแลโครงการ แต่ผู้ดูแลระบบ phpMyAdmin ไม่สามารถแก้ไขช่องโหว่ภายใน 90 วันหลังจากได้รับแจ้ง นักวิจัยจึงตัดสินใจที่จะเปิดเผยรายละเอียดช่องโหว่และ PoC ต่อสาธารณะในวันที่ 13 กันยายน ผู้ดูแลเว็บไซต์และผู้ให้บริการโฮสต์ขอแนะนำให้หลีกเลี่ยงการคลิกลิงก์ที่น่าสงสัยจนกว่าผู้ดูแลโครงการ phpMyAdmin จะแก้ไขช่องโหว่

ที่มา:thehackernews