ثغرة CSRF على phpMyAdmin

اكتشاف ثغرة من نوع CSRF على نظام ادارة قواعد البيانات الشهير phpMyAdmin,
تم الابلاغ على ثغرة جديدة على phpMyAdmin و يعتبر phpMyAdmin واحد من افضل التطبيقات على الاطلاق ل  لإدارة قاعدة بيانات MySQL, و تسمح الثغرة ب التعديل و الحذف على الجداول الموجودة ب قاعدة البيانات و يتم هاذا عن طريق خداع الادمن او مشرفي المواقع على الضغط على رابط و الرابط يقوم ب عملية خبيثة على قاعدة البيانات .
و تم اكتشاف الشغرة من طرف باحثين في الأمن المعلوماتي من الهند  Ashutosh Barot, و الثغرة عبارة عن cross-site request forgery (CSRF)  و الاصدار المصاب هو phpMyAdmin versions 4.7.x  و تم اصلاح الثغرة في الاصدار الجديد 4.7.7 .


 و لكي يتم استغلال ثغرات Cross-site request forgery او ما تعرف ب XSRF يجب ان يقوم المهاجم ب خداع الضحية و يجبره على الضغط على احد الروابط الخبيثة و التي قد تأدي الى عواقب وخيمة مثل التعديل على الجداول او حذفها …. الخ .
و بحسب تصريحات المسؤولين على phpMyAdmin : “من خلال خداع المستخدم  و اجباره على النقر على رابط خبيث ، فمن الممكن أداء عمليات على  قاعدة البيانات دون ان تشعر  مثل حذف السجلات، dropping / اقتطاع الجداول، وما إلى ذلك”.
و يتم اسخدام phpMyAdmin في ملايين المواقع من جميع انحاء العالم و يت استخدامه على العديد من انظمة ادارة المحتوى مثل ورد برس و جوملا و الكثير من انظمة ادارة المحتوى الأخرى, وعلاوة على ذلك، تقوم الكثير من الاستضافات ب تقديم phpMyAdmin ك خدمة لعملائها ل ادارة قواعد البيانات الخاصة بهم.



و كما تشاهد ب الفيديو ب الاعلى و الذي تم نشره من قبل Barot , فانه تم حذف احد الجداول الموجودة ب قاعدة البيانات ب مجرد الضغط على الرابط .
و يرجى الملاحضة ان استغلال الثغرة ليس ب الامر السهل ابدا لانه يجب على المهاجم ان يقوم ب ايجاد اسم قاعدة الباينات للضحية لكي يقوم ب بناء رابط خبيث.
ان كنت من مستخدمي phpMyAdmin على موقعك او شركتك فيجب عليك ان تقوم ب الترقية الى الاصدار  4.7.7  الذي تم اصلاح الثغرة به .
المرجع 
https://www.phpmyadmin.net/security/PMASA-2017-9/

المواضيع الاخيرة

  • آي فون
  • اندرويد

تهكير لعبة ببجي موبايل للأندرويد و الآيفون 2021

كيف تقوم بتهكير لعبة ببجي للموبايل عبر إستعمال تطبيقات تهكير الألعاب بدون روت , مع شرح…

أسبوعين منذ
  • آي فون

معرفة كلمة سر شبكة الوايرلس المتصل بها للايفون (2021)

معرفة كلمة سر الشبكة المتصل بها لهواتف الآيفون أمر في غاية السهولة و سوف نتأكد…

أسبوعين منذ
  • آي فون
  • تهكير الألعاب

تهكير ببجي للايفون & بدون كسر الحماية 2021

تهكير ببجي للايفون أصعب قليلا على غرار الأندرويد , و هذا  بسبب الحماية العالية في…

أسبوعين منذ
  • آي فون
  • اندرويد

نقل محادثات الواتس اب من الاندرويد الى الايفون 2021

اقدم لكم افضل طريقة من اجل نقل محادثات الواتس اب من الاندرويد الى الايفون2019  بكل سهولة…

أسبوعين منذ
  • lucky patcher
  • تهكير الألعاب

برنامج تهكير الالعاب لوكي باتشر(lucky patcher) بالعربي

اذا كنت تبحث على افضل برنامج تهكير الالعاب فبرنامج Lucky Patcher هو الأفضل على الإطلاق في…

أسبوعين منذ
  • lucky patcher
  • اندرويد
  • تهكير الألعاب

تحميل برنامج (lucky patcher) وتثبيته بدون روت 2021

طريقة تحميل برنامج أو تطبيق Lucky Patcher مجانا و البدأ في تهكير الألعاب, أفضل برنامج لتهكير…

أسبوعين منذ