【漏洞预警】CVE-2019-12922:phpMyAdmin 跨站请求伪造漏洞

  • 内容
  • 相关

0x01漏洞描述

phpMyAdmin 是一个 MySQL 和 MariaDB 数据库的免费开源管理工具,广泛用于管理 WordPress、Joomla 和许多其他内容管理平台创建的网站的数据库。

近日,安全研究人员Manuel Garcia Cardenas披露了phpMyAdmin的一个跨站请求伪 造(CVE-2019-12922)漏洞。攻击者可利用该漏洞诱使认证用户执行恶意操作。当攻击者将 恶意构造的 URL 发送给目标 web 管理员时,若该 web 管理员已使用同一浏览器登陆了 phpmyAdmin 面板,并打开该链接,即可执行 URL 包含的恶意请求删除目标服务器上 phpMyAdmin 面板设置页面中所配置的服务器。

Image


0x02漏洞编号

CVE 编号:CVE-2019-12922

危险级别:中危

0x03影响版本 

phpMyAdmin<= 4.9.0.1

0x04漏洞验证

POC:

利用 CSRF —删除主服务器。

<p>Deleting Server 1</p>
<img src=" http://server/phpmyadmin/setup/index.php?page=servers&mode=remove&id=1"; style="display:none;" />

0x05修复建议

官方暂未发布针对此漏洞的修复版本。

临时缓解措施:

用户可通过在每次调用时使用 token 变量验证来对该漏洞进行防护。 

在维护人员对该漏洞进行修复前,强烈建议相关的用户避免点击任何可疑的链接造成风险,请关注官方相关消息,以便及时升级 phpMyAdmin 至修复版本来防护此漏洞。

本文标签:

版权声明:若无特殊注明,本文皆为《舜哥哥吖》原创,转载请保留文章出处。

本文链接:【漏洞预警】CVE-2019-12922:phpMyAdmin 跨站请求伪造漏洞 - http://www.shungg.cn/post/257

发表评论

电子邮件地址不会被公开。 必填项已用*标注