0day уязвимость в phpMyAdmin
CVE-2019-12922
Версии: phpMyAdmin < 4.9.0.1
Тип: CSRF (Cross-Site Request Forgery)
Описание:
POC:
CVE-2019-12922
Версии: phpMyAdmin < 4.9.0.1
Тип: CSRF (Cross-Site Request Forgery)
Описание:
Проблема относится к CSRF (Cross-Site Request Forgery) уязвимостям и получила идентификатор CVE-2019-12922. Уязвимости был присвоен средний уровень опасности, так как она позволяет атакующему только удалять серверы в панели phpMyAdmin, но не позволит удалить БД и таблицы.
Для эксплуатации бага злоумышленнику нужно лишь отправить специальную ссылку администратору, который уже залогинен в панели phpmyAdmin в том же браузере. Кликнув по такой ссылке, содержащей специальный запрос от имени пользователя, администратор удалит свой сервер, так как произойдет CSRF-атака, построенная на некорректном использовании метода HTTP. Карденас подчеркивает, что эксплуатация проблемы весьма проста, так как атакующему не нужно знать ничего, кроме URL целевого сервера.
POC:
