ເຕືອນຊ່ອງໂຫວ່ Zero-day ກະທົບ phpMyAdmin ທຸກເວີຊັນ

Manuel Garcia Cardenas ນັກ​ວິ​ໄຈ​ດ້ານ​ຄວາມຫມັ້ນຄົງ​ປອດໄພ ​ແລະ Pentester ໄດ້​ອອກ​ມາ​ເປີດ​ເຜີຍ​ເຖິງ​ຊ່ອງ​ໂຫວ່ Zero-day ເທິງ phpMyAdmin ທີ່​ຢັງ​ບໍ່​ຖືກ​ແພ໊ດ ພ້ອມ​ຫຼັກ​ຖານ PoC ຊຶ່ງ​ຊ່ວຍ​ໃຫ້​ແຮັກ​ເກີ​ໂຈມ​ຕີ​ແບບ Cross-site Request Forgery (CSRF) ເພື່ອ​ຫຼອກ​ໃຫ້​ຜູ້​ໃຊ້​ທີ່​ພິສູດ​ຕົວ​ຕົນ​ແລ້ວ​ດຳ​ເນີນ​ການ​ບາງຢ່າງ​ຕາມ​ຄວາມ​ຕ້ອງ​ການ​ຂອງ​ແຮັກ​ເກີ​ໂດຍ​ທີ່​ຜູ້​ໃຊ້​ບໍ່​ຮູ້​ຕົວ​ໄດ້

phpMyAdmin ເປັນ​ໜຶ່ງ​ໃນ​ແອັບ​ພລິ​ເຄ​ຊັນ Open Source ຍອດ​ນິຍົມ​ສຳລັບ​ບໍລິຫານ​ຈັດການ​ຖານ​ຂໍ້​ມູນ MySQL ແລະ MariaDB ຊຶ່ງ​ຖືກ​ນຳ​ໄປ​ໃຊ້​ເທິງ Content Management Platforms ທີ່​ຫຼາກ​ຫຼາຍ ເຊັ່ນ WordPress ແລະ Joomla ຊຶ່ງ​ລ່າ​ສຸດ Cardenas ໄດ້​ຄົ້ນ​ພົບ​ຊ່ອງ​ໂຫວ່ Zero-day ປະ​ເພດ CSRF ລະຫັດ CVE-2019-12922 ຄວາມ​ຮຸນແຮງ​ລະ​ດັບ​ປານ​ກາງ ເນື່ອງ​ຈາກ​ຊ່ອງ​ໂຫວ່​ນີ້​ມີ​ຂອບ​ເຂດ​ການ​ໂຈມ​ຕີ​ທີ່​ຈຳ​ກັດ ​ຄື ຊ່ວຍ​ໃຫ້​ແຮັກ​ເກີລືບສະເພາະ Server ເທິງ​ໜ້າ Setup Page ຂອງ phpMyAdmin ຂອງ​ເຫຢື່ອ​ໄດ້​ເທົ່າ​ນັ້ນ

ແຮັກ​ເກີ​ສາມາດ​ໂຈມ​ຕີ​ຜ່ານ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ໄດ້​ດ້ວຍ​ການ​ສົ່ງ URL ທີ່​ຖືກ​ສ້າງ​ຂຶ້ນ​ມາ​ເປັນ​ພິເສດ​ໄປ​ໃຫ້ Web Admin ທີ່​ກຳ​ລັງ​ລັອກ​ອິນ​ຢູ່ໃນ​ລະບົບ phpMyAdmin ເທິງ Browser ​ດຽວ​ກັນ ເມື່ອ Web Admin ເຂົ້າ​ເຖິງ URL ນັ້ນ​ໆ ກໍ​ຈະ​ດຳ​ເນີນ​ການ​ລືບ (DROP) ເ​ຊິເວີເທິງ phpMyAdmin ໂດຍ​ທັນ​ທີ

ການ​ໂຈມ​ຕີ​ຜ່ານ​ຊ່ອງ​ໂຫວ່​ນີ້​ຖື​ວ່າ​ເຮັດ​ໄດ້​ບໍ່​ຄ່ອຍຍາກ​ ພຽງ​ແຕ່ຮູ້ URL ສຳລັບ​ເ​ຊິ​ເວີເປົ້າ​ໝາຍ​ກໍ​ພຽງ​ພໍ​ແລ້ວ ແຮັກ​ເກີບໍ່​ຈຳ​ເປັນ​ຕ້ອງ​ຮູ້​ຊື່ Database Server ໃດ​ໆເລີຍ

ຊ່ອງ​ໂຫວ່ Zero-day ດັ່ງ​ກ່າວ​ສົ່ງ​ຜົນ​ກະທົບ​ເທິງ phpMyAdmin ທຸກ​ເວີຊັນ ລວມ​ໄປ​ເຖິງ​ເວ​ີຊັນ 4.9.0.1 ລ່າ​ສຸດ ແລະ ​ຍັງ​ບໍ່​ມີ​ແພ​໊ດ​ສຳລັບ​ອຸດ​ຊ່ອງ​ໂຫວ່​ຈົນ​ເຖິງ​ຕອນ​ນີ້

 ແຫຼ່ງຂໍ້ມູນ

Thehackernews