警告：研究人员在零日内删除phpMyAdmin，影响所有版本

一位网络安全研究人员最近公布了phpMyAdmin—中一个未修补的零天漏洞的详细信息和概念证明；管理MySQL和MariaDB数据库的最流行应用程序之一。


该漏洞由安全研究人员和pentester Manuel Garcia Cardenas发现，据称是一个跨站点请求伪造（CSRF）漏洞，也称为XSRF，这是一种众所周知的攻击，攻击者诱骗经过身份验证的用户执行不需要的操作。

该漏洞被识别为CVE-2019-12922，由于其范围有限，仅允许攻击者删除受害者服务器上phpMyAdmin面板设置页面中配置的任何服务器，因此该漏洞被评为中等级别。

需要指出的是，这并不是你不应该太担心的事情，因为攻击不允许攻击者删除存储在服务器上的任何数据库或表。

攻击者只需向目标web管理员发送一个精心编制的URL，这些管理员已经登录到同一浏览器上的phpmyAdmin面板，通过简单的点击，诱使他们在不知不觉中删除配置的服务器。

“攻击者可以轻松创建一个假超链接，其中包含希望代表用户执行的请求，通过这种方式，由于错误使用HTTP方法，可能会导致CSRF攻击，”Cardenas在完整公开邮件列表的帖子中解释道。

然而，该漏洞很容易被利用，因为攻击者不需要知道目标服务器的URL，也不需要知道任何其他信息，比如数据库的名称。

概念验证利用代码

该漏洞影响phpMyAdmin 4.9.0.1及以下的版本，4.9.0.1是撰写本文时软件的最新版本。

Cardenas告诉黑客新闻，该安全漏洞也存在于2019年7月发布的phpMyAdmin 5.0.0-alpha1中。

Cardenas早在2019年6月就发现了该漏洞，并负责地向项目维护人员报告了该漏洞。

然而，在phpMyAdmin维护人员未能在收到通知后90天内修补漏洞后，研究人员决定于9月13日向公众公布漏洞详细信息和PoC。

为了解决此漏洞，Cardenas建议“在每个调用中实现令牌变量的验证，就像在其他phpMyAdmin请求中一样”，作为一种解决方案。

在维护人员修补漏洞之前，强烈建议网站管理员和主机提供商避免点击任何可疑链接。