„PhpMyAdmin“ 4.7.x versijoje (prieš 4.7.7 versiją) rastas pažeidimas, susijęs su kelių svetainių užklausų klastojimu (CSRF), per kurį kenkėjiški užpuolikai gali atlikti pagrindines duomenų bazės operacijas, apgaunami vartotojus spustelėdami piktybiškai sukurtus URL. Šis pažeidžiamumas buvo sujungtas CVE identifikavimo etiketėje CVE-2017-1000499, kuris taip pat buvo priskirtas ankstesniems „CSPF“ pažeidimams „phpMyAdmin“.
Yra keturi naujausi papildymai CVE-2017-1000499 CSRF pažeidžiamumo skėtis. Šie keturi apima dabartinį vartotojo slaptažodžio keitimo pažeidžiamumą, savavališką failų rašymo pažeidžiamumą, duomenų paiešką per DNS ryšio grandinių pažeidžiamumą ir tuščias visas eilučių iš visų lentelių pažeidžiamumą. Kadangi „phpMyAdmin“ susijusi su „MySQL“ administravimo puse, šie keturi pažeidžiamumai kelia didelę riziką visai duomenų bazei, todėl kenksmingas vartotojas gali pakeisti slaptažodžius, pasiekti duomenis, ištrinti duomenis ir vykdyti kitas komandas vykdydamas kodą.
Kadangi „MySQL“ yra gana įprasta atvirojo kodo reliacinių duomenų bazių valdymo sistema, šie pažeidžiamumai (kartu su daugybe kitų CVE-2017-100049 CSRF pažeidžiamumų) kenkia daugelio įmonių gerai pritaikytos programinės įrangos patirčiai, ypač dėl jos paprasto naudojimo veiksminga sąsaja.
Dėl CSRF atakų nesąmoningas vartotojas įvykdo komandą, kurią ketina kenkėjiškas užpuolikas, spustelėdamas ją, kad ji galėtų tęsti. Vartotojai paprastai apgaudinėjami manydami, kad tam tikra leidimų prašanti programa yra saugoma saugioje vietoje arba kad atsisiunčiamas failas yra tas, ką ji teigia pavadinime b. Piktybiškai sukurti tokio tipo URL priverčia vartotojus vykdyti užpuoliko numatytas komandas nesąmoningai pažeidžiant sistemą.
Šis pažeidžiamumas yra žinomas pardavėjui ir akivaizdu, kad vartotojui negalima užkirsti kelio savo noru, todėl norint išleisti programinę įrangą „phpMyAdmin“ reikia atnaujinti. Šis trūkumas yra 4.7.x versijose, kurios buvo ankstesnės nei 4.7.7, o tai reiškia, kad tie, kurie vis dar naudoja senesnes versijas, turėtų nedelsdami patobulinti iki naujausios versijos, siekiant sušvelninti šį kritinio lygio pažeidžiamumą.
