تم الابلاغ على ثغرة جديدة على phpMyAdmin و يعتبر phpMyAdmin واحد من افضل التطبيقات على الاطلاق ل لإدارة قاعدة بيانات MySQL, و تسمح الثغرة ب التعديل و الحذف على الجداول الموجودة ب قاعدة البيانات و يتم هاذا عن طريق خداع الادمن او مشرفي المواقع على الضغط على رابط و الرابط يقوم ب عملية خبيثة على قاعدة البيانات .
و تم اكتشاف الشغرة من طرف باحثين في الأمن المعلوماتي من الهند Ashutosh Barot, و الثغرة عبارة عن cross-site request forgery (CSRF) و الاصدار المصاب هو phpMyAdmin versions 4.7.x و تم اصلاح الثغرة في الاصدار الجديد 4.7.7 .
و لكي يتم استغلال ثغرات Cross-site request forgery او ما تعرف ب XSRF يجب ان يقوم المهاجم ب خداع الضحية و يجبره على الضغط على احد الروابط الخبيثة و التي قد تأدي الى عواقب وخيمة مثل التعديل على الجداول او حذفها …. الخ .
و بحسب تصريحات المسؤولين على phpMyAdmin : “من خلال خداع المستخدم و اجباره على النقر على رابط خبيث ، فمن الممكن أداء عمليات على قاعدة البيانات دون ان تشعر مثل حذف السجلات، dropping / اقتطاع الجداول، وما إلى ذلك”.
و يتم اسخدام phpMyAdmin في ملايين المواقع من جميع انحاء العالم و يت استخدامه على العديد من انظمة ادارة المحتوى مثل ورد برس و جوملا و الكثير من انظمة ادارة المحتوى الأخرى, وعلاوة على ذلك، تقوم الكثير من الاستضافات ب تقديم phpMyAdmin ك خدمة لعملائها ل ادارة قواعد البيانات الخاصة بهم.
و كما تشاهد ب الفيديو ب الاعلى و الذي تم نشره من قبل Barot , فانه تم حذف احد الجداول الموجودة ب قاعدة البيانات ب مجرد الضغط على الرابط .
و يرجى الملاحضة ان استغلال الثغرة ليس ب الامر السهل ابدا لانه يجب على المهاجم ان يقوم ب ايجاد اسم قاعدة الباينات للضحية لكي يقوم ب بناء رابط خبيث.
ان كنت من مستخدمي phpMyAdmin على موقعك او شركتك فيجب عليك ان تقوم ب الترقية الى الاصدار 4.7.7 الذي تم اصلاح الثغرة به .
المرجع
https://www.phpmyadmin.net/security/PMASA-2017-9/
