พบช่องโหว่ SQL injection บน phpMyAdmin ช่องโหว่ CVE-2020-10802, CVE-2020-10803, CVE-2020-10804 รายงานโดยผู้ใช้งานทวิตเตอร์ชื่อ hoangn144_VCS, bluebird, Yutaka WATANABE
วันที่ 20 มีนาคมที่ผ่านมาได้

รายละเอียดช่องโหว่
CVE-2020-10802 (CVSS 8.0): เป็นช่องโหว่ SQL injection ที่เกิดจากการข้อผิดพลาดในการสร้างพารามิเตอร์ในขั้นตอนการค้นหาภายใน phpMyAdmin การโจมตีจะเกิดได้เมื่อผู้ใช้งานดำเนินการค้นหาด้วยการใส่อักษรพิเศษลงไปบนฐานข้อมูลหรือตารางที่ผู้โจมตีสร้างขึ้นมาเพื่อใช้ในการโจมตี

CVE-2020-10803 (CVSS 5.4): เป็นช่องโหว่ SQL injection ที่เกิดจากเรียกใช้โค้ดเพื่อจะดำเนินการแทรกข้อมูลที่สร้างขึ้นในฐานข้อมูล เมื่อผู้ใช้ทำการดึงหรือเรียกดูฐานข้อมูล จะสามารถทำการโจมตีในรูปแบบ XSS (Cross-site scripting) ได้ในการเเสดงผล

CVE-2020-10804 (CVSS 8.0): เป็นช่องโหว่ SQL injection โดยทำการดึงข้อมูล username ที่มีอยู่
และสร้าง username เพื่อหลอกให้ผู้ดูแลระบบดำเนินการบางอย่าง เช่นแก้ไขสิทธิ์ผู้ใช้งาน ช่องโหว่นี้ยังทำให้เกิดข้อผิดพลาดในการเปลี่ยนพาสเวิร์ด MySQL ของผู้ใช้

ผลกระทบ
phpMyAdmin เวอร์ชั่น 4.9.x ก่อน 4.9.5 และ เวอร์ชั่น 5.0.x ก่อน 5.0.2 ได้รับผลกระทบ

การเเก้ไข
อัปเกรด phpMyAdmin เป็นเวอร์ชั่น 4.9.5 หรือ 5.0.2 หรือใหม่กว่า

ที่มา: phpmyadmin

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่ SQL Injection และ CSRF

โครงการ phpMyAdmin ประกาศแพตช์สำหรับช่องโหว่รหัส CVE-2019-11768 (PMSA-2019-3) และ CVE-2019-12616 (PMSA-2019-4) วันนี้ โดยเป็นช่องโหว่ SQL Injection และ CSRF ตามลำดับ

ช่องโหว่ CVE-2019-11768 เป็นช่องโหว่ SQL Injection ในส่วน Designer Feature โดยตรวจพบกับ phpMyAdmin เวอร์ชันก่อน 4.8.6 ซึ่งจะเกิดขึ้นเมื่อผู้โจมตีมีการสร้างฐานข้อมูลด้วยชื่อแบบพิเศษซึ่งจะทำให้เกิดเงื่อนไขของ SQL Injection

ในส่วนของช่องโหว่ CVE-2019-12616 นั้น เป็นช่องโหว่ประเภท CSRF ที่หน้าล็อกอินของ phpMyAdmin โดยผู้โจมตีสามารถทำการโจมตีผ่าน HTML tag ที่มีการพัฒนาอย่างไม่ปลอดภัยเพื่อใช้สิทธิ์ของผู้ใช้งานในการส่งคำสั่งที่เป็นอันตรายไปยังระบบได้ ช่องโหว่นี้กระทบ phpMyAdmin ก่อนรุ่น 4.9.0 โดยให้ทำการอัปเดตเป็นเวอร์ชันใหม่กว่าเพื่อรับการแก้ไขช่องโหว่

ที่มา: PMASA-2019-3 , PMASA-2019-4

ทาง Cisco ได้ประกาศเรื่องการอัพเดทแพทช์เพื่อแก้ไขปัญหาช่องโหว่ใน web framework สำหรับ Cisco Prime License Manager ที่ส่งผลทำให้แฮกเกอร์สามารถโจมตีด้วยวิธี SQL Injection ได้

จากข่าวรายงานว่าช่องโหว่ดังกล่าวถูกพบโดย Suhail Alaskar จาก Saudi Information Technology Company โดยช่องโหว่นี้เกิดจากข้อบกพร่องที่ไม่มีการตรวจสอบความถูกต้องเมื่อผู้ใช้งานป้อนข้อมูลในหน้าเว็บ ทำให้แฮกเกอร์สามารถเรียกใช้งานโดยส่งคำขอ HTTP POST ที่แอบซ่อนคำสั่ง SQL ที่เป็นอันตรายไปยังเว็บแอปพลิเคชันที่มีช่องโหว่ ส่งผลให้แฮกเกอร์สามารถแก้ไขและลบข้อมูลในฐานข้อมูล Prime License Manager (PLM) ได้ หรือได้รับสิทธิ์การเข้าถึง shell โดยใช้สิทธิ์ผู้ใช้ postgres ได้

Cisco Prime License Manager ที่ได้รับผลกระทบ ประกอบด้วย Prime License Manager เวอร์ชัน 11.0.1 และใหม่กว่า, Cisco Unified Communications Manager และ Cisco Unity Connection ที่ต่ำกว่าเวอร์ชัน 12.0 แนะนำให้ผู้ใช้งานที่ได้รับผลกระทบทำการอัพเดทแพทช์ ciscocm.

WordPress ปล่อยเวอร์ชัน 4.8.3 แพตช์ช่องโหว่ SQL injection ร้ายแรง

ทาง WordPress ได้มีการปล่อย WordPress 4.8.3 ซึ่งเป็นเวอร์ชั่นใหม่ โดยในเวอร์ชั่นนี้จะแก้ไขช่องโหว่ SQL injection ที่เกิดขึ้นในเวอร์ชั่นก่อนหน้านี้คือ เวอร์ชั่น 4.8.2 โดยมีรายละเอียดข่าวดังนี้

WordPress เวอร์ชั่น 4.8.2 และเวอร์ชั่นก่อนหน้านี้มีปัญหาที่เกิดจากฟังก์ชัน $wpdb->prepare() ที่ทำให้แฮกเกอร์สามารถสร้างข้อความสำหรับไว้ค้นหาที่ไม่ปลอดภัย นำไปสู่การโจมตีด้วยวิธี SQL injection (SQLi) ได้สำเร็จ ในส่วนของตัวโปรแกรมหลัก WordPress จะไม่ได้รับผลกระทบโดยตรง แต่อาจเกิดจากปลั๊กอินและธีมที่ไม่ปลอดภัยก็สามารถมีความเสี่ยงในการถูกโจมตีได้

สำหรับ WordPress เวอร์ชั่น 4.8.3 นี้ทางทีมก็ได้พัฒนาเพิ่ม hardening เพื่อป้องกันปลั๊กอินและธีม อีกทั้งยังมีการเปลี่ยนเแปลงฟังก์ชั่น สำหรับฟังก์ชัน esc_sql() เพื่อให้มีความปลอดภัยมากขึ้น หากใครที่ใช้งานอยู่ควรรีบทำการอัพเดทแพทช์ทันที

ที่มา : wordpress

บริษัทด้านความปลอดภัย Rapid 7 ได้ตรวจพบช่องโหว่ SQL injection บนซอฟต์แวร์ e-commerce "SmartVista" ซึ่งใช้กันอย่างแพร่หลายในสวิตเซอร์แลนด์ อย่างไรก็ตามโลกแห่งความจริงนั้นไม่ได้ง่ายและปลอดภัยเมื่อบริษัทผู้พัฒนาซอฟต์แวร์ BCP Banking ไม่ยอมรับทราบและแก้ปัญหาใดๆ ตั้งแต่เดือนพฤษาภาคม 2017

ช่องโหว่ดังกล่าวเกิดจากระบบไม่ได้มีการตรวจสอบข้อมูลที่ผู้ใช้งานส่งเข้ามาดีพอ ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่อยู่ฐานข้อมูลได้ผ่านการโจมตี SQL injection
ขณะนี้ CERT/CC กับ SwissCERT ได้ดำเนินการแจ้งไปยังบริษัทผู้พัฒนาซอฟต์แวร์แล้ว เนื่องจากซอฟต์แวร์ดังกล่าวมีการใช้งานอย่างแพร่หลาย ในส่วนของผู้ที่ใช้ซอฟต์แวร์นั้น การใช้ฟีเจอร์ของ WAF ในการป้องกัน SQL injection อาจช่วยลดความเสี่ยงที่จะถูกโจมตีได้บางส่วน

ที่มา: theregister

WordPress 4.8.2 เก็บค่าของ wp_signups.activation_key(Key การเปิดใช้งาน Email เพื่อเข้าใช้งาน Blog) แบบ cleartext ซึ่งอาจทำให้ผู้โจมตีจากระยะไกลสามารถแย่งชิงบัญชีผู้ใช้ที่ไม่ได้เปิด activation โดยใช้ประโยชน์จากการเข้าถึงฐานข้อมูล(เช่นการเข้าถึงที่ได้รับผ่านช่องโหว่ SQL injection)

คำแนะนำการแก้ปัญหา

เนื้อหาภายใน https://core.

นักวิจัยได้พบว่ามีการโจมตี SQL Injection แบบใหม่โดยใช้อุปกรณ์ Smartphone วิธีการนี้ถูกเรียกว่า “Katyusha Scanner” โดยได้รวมเครื่องมือทดสอบการเจาะข้อมูลแบบ Open-Source ชื่อว่า Anarchi Scanner เอาไว้ ส่งผลให้ผู้ไม่หวังดีสามารถสแกนและอัปโหลดรายการเว็บไซต์ที่ต้องการแล้วเปิดการโจมตีหลายๆเป้าหมายพร้อมๆกัน โดยควบคุมการทำงานผ่าน Telegram messenger ปัจจุบันมีรายงานว่ามีผู้ซื้อผลิตภัณฑ์ชิ้นนี้และประสบความสำเร็จในการเข้าถึง Web Server 8 เครื่องภายครึ่งวัน
เมื่อเดือน(June 2017)ที่แล้วมาทีมงานของ Vulnerability and Exposure (VERT) ของ Tripwire ได้ทำการศึกษาซึ่งแสดงให้เห็นว่าผู้พัฒนาสามารถที่จะแก้ไขปัญหาดังกล่าวได้โดยการสแกนหาช่องโหว่ของ Web Application อย่างสม่ำเสมอ และควรได้รับการประเมินความเสี่ยงจากผู้เชี่ยวชาญ และหลีกเลี่ยงการสร้าง Web Application ด้วยเครื่องมือสำเร็จรูป

ที่มา : darkreading

Asaf Orpani นักวิจัยด้านความปลอดภัยจาก Trustwave SpiderLabs พบช่องโหว่ SQL Injection บน Joomla เวอร์ชั่น 3.2 ที่ปล่อยให้ดาวน์โหลดตั้งแต่เดือนพฤศจิกายนปี 2013 ถึงเวอร์ชั่น 3.4.4
ช่องโหว่ดังกล่าวอนุญาตให้ผู้ที่ไม่ประสงค์ดีสามารถยกระดับสิทธิ์ของตัวเองเป็นผู้ดูแลเว็บไซต์ได้อย่างเต็มรูปแบบ

ช่องโหว่นี้ถูกค้นพบในไฟล์ /administrator/components/com_contenthistory/models/history.