PhpMyAdmin 4.7.x లో CSRF దుర్బలత్వం దాడి చేసేవారికి హానికరమైన URL ల ద్వారా రికార్డులను తొలగించడానికి అనుమతిస్తుంది

వార్తలు
భద్రత / PhpMyAdmin 4.7.x లో CSRF దుర్బలత్వం దాడి చేసేవారికి హానికరమైన URL ల ద్వారా రికార్డులను తొలగించడానికి అనుమతిస్తుంది 1 నిమిషం చదవండి

క్రాస్-సైట్ రిక్వెస్ట్ ఫోర్జరీ (CSRF) దుర్బలత్వం phpMyAdmin వెర్షన్ 4.7.x (వెర్షన్ 4.7.7 కి ముందు) లో కనుగొనబడింది, దీని ద్వారా హానికరమైన దాడి చేసినవారు హానికరంగా రూపొందించిన URL లపై క్లిక్ చేయడం ద్వారా వినియోగదారులను మోసగించడం ద్వారా ప్రాథమిక డేటాబేస్ ఆపరేషన్లను చేయగలుగుతారు. ఈ దుర్బలత్వం CVE గుర్తింపు లేబుల్ CVE-2017-1000499 క్రింద కలపబడింది, ఇది phpMyAdmin లోని మునుపటి CSRF దుర్బలత్వాలకు కేటాయించబడింది.



క్రింద నాలుగు తాజా చేర్పులు ఉన్నాయి CVE-2017-1000499 CSRF బలహీనత గొడుగు. ఈ నలుగురిలో ప్రస్తుత యూజర్ పాస్‌వర్డ్ సవరణ దుర్బలత్వం, ఏకపక్ష ఫైల్ రైటింగ్ దుర్బలత్వం, DNS కమ్యూనికేషన్ గొలుసుల దుర్బలత్వంపై డేటా తిరిగి పొందడం మరియు అన్ని పట్టికల దుర్బలత్వం నుండి ఖాళీగా ఉన్న అన్ని వరుసలు ఉన్నాయి. PhpMyAdmin MySQL యొక్క పరిపాలన వైపు వ్యవహరిస్తున్నందున, ఈ నాలుగు హానిలు మొత్తం డేటాబేస్ను అధిక ప్రమాదంలో ఉంచుతాయి, హానికరమైన వినియోగదారు పాస్‌వర్డ్‌లను మార్చడానికి, డేటాను యాక్సెస్ చేయడానికి, డేటాను తొలగించడానికి మరియు కోడ్ అమలు ద్వారా ఇతర ఆదేశాలను నిర్వహించడానికి అనుమతిస్తుంది.

MySQL అనేది చాలా సాధారణమైన ఓపెన్ సోర్స్ రిలేషనల్ డేటాబేస్ మేనేజ్‌మెంట్ సిస్టమ్ కాబట్టి, ఈ దుర్బలత్వం (లెక్కలేనన్ని ఇతర CVE-2017-100049 CSRF దుర్బలత్వాలతో పాటు), సాఫ్ట్‌వేర్ యొక్క అనుభవాన్ని రాజీ చేస్తుంది, ఇది చాలా సంస్థలచే బాగా స్వీకరించబడింది మరియు ప్రభావవంతమైన ఇంటర్ఫేస్.



CSRF దాడులు తెలియని వినియోగదారుడు హానికరమైన దాడి చేసే వ్యక్తి దానిపై క్లిక్ చేయడం ద్వారా దానిని కొనసాగించడానికి అనుమతించే ఆదేశాన్ని అమలు చేయడానికి కారణమవుతుంది. అనుమతులు అడుగుతున్న ఒక నిర్దిష్ట అనువర్తనం స్థానికంగా సురక్షితమైన స్థలంలో నిల్వ చేయబడిందని లేదా డౌన్‌లోడ్ చేయబడుతున్న ఫైల్ అది టైటిల్‌లో బి అని పేర్కొన్నట్లు వినియోగదారులు సాధారణంగా మోసపోతారు. ఈ రకమైన హానికరంగా రూపొందించిన URL లు వినియోగదారులు తెలియకుండానే సిస్టమ్‌ను రాజీ పడే దాడి చేసేవారి ఉద్దేశించిన ఆదేశాలను అమలు చేస్తాయి.



హంతకుడి విశ్వాస మూలాలు క్రాష్ అవుతూనే ఉన్నాయి

ఈ దుర్బలత్వం విక్రేతకు తెలుసు మరియు వినియోగదారు యొక్క స్వంత ఒప్పందంలో ఇది వినియోగదారుని నిరోధించలేమని స్పష్టంగా తెలుస్తుంది, అందువల్ల phpMyAdmin సాఫ్ట్‌వేర్ విడుదల కావడానికి దీనికి నవీకరణ అవసరం. ఈ లోపం 4.7.7 కి ముందు 4.7.x వెర్షన్లలో ఉంది, అంటే పాత వెర్షన్లను ఉపయోగిస్తున్న వారు వెంటనే ఉండాలి అప్‌గ్రేడ్ ఈ క్లిష్టమైన గ్రేడ్ దుర్బలత్వాన్ని తగ్గించడానికి తాజా సంస్కరణకు.