安基网 欢乐生肖 资讯 安全报 查看内容

新的0day漏洞影响所有的phpMyAdmin版本

2019-9-21 09:29| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: phpMyAdmin是用于通过Web管理MySQL和MariaDB数据库的最流行的工具之一。近日,phpMyAdmin中发现了一个未修补的零日漏洞,可以让攻击者欺骗经过身份验证的用户执行特定的操作。 安全研究员Manuel Garcia Cardenas最近发布了关于这个漏洞的详细信息和poc。漏洞被标识为CVE-2019-12922,本质上它属于一个 ...

phpMyAdmin是用于通过Web管理MySQL和MariaDB数据库的最流行的工具之一。近日,phpMyAdmin中发现了一个未修补的零日漏洞,可以让攻击者欺骗经过身份验证的用户执行特定的操作。

安全研究员Manuel Garcia Cardenas最近发布了关于这个漏洞的详细信息和poc。漏洞被标识为CVE-2019-12922,本质上它属于一个跨站点请求伪造(CSRF)漏洞,也称为XSRF。漏洞被评级为中等,利用漏洞允许攻击者删除受害者服务器上phpMyAdmin面板的设置页面中配置的任何服务器,但是,通过该漏洞不允许攻击者删除存储在服务器上的任何数据库或表。只需在向已登录的目标Web管理员发送精心设计的URL,一旦他们点击URL,攻击者所设计的操作就会被执行。

开发者应该在每个调用中实现令牌变量的验证来避免CSRF攻击。此漏洞并算不严重,因为攻击者必须知道目标服务器的相关信息才能操纵用户。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6738598360313233927/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
飞速赛车平台 极速11选5 极速PK拾 吉林快3 9号棋牌APP 极速快乐8 幸运飞艇官网 幸运飞艇官网 欢乐生肖 幸运赛车