ஒரு குறுக்கு தள கோரிக்கை மோசடி (சி.எஸ்.ஆர்.எஃப்) பாதிப்பு phpMyAdmin பதிப்பு 4.7.x இல் (பதிப்பு 4.7.7 க்கு முன்) கண்டறியப்பட்டுள்ளது, இதன் மூலம் தீங்கிழைக்கும் தாக்குதல் செய்பவர்கள் தீங்கிழைக்கும் URL களைக் கிளிக் செய்வதன் மூலம் பயனர்களை ஏமாற்றுவதன் மூலம் அடிப்படை தரவுத்தள செயல்பாடுகளைச் செய்ய முடியும். இந்த பாதிப்பு CVE அடையாள லேபிளின் கீழ் இணைக்கப்பட்டுள்ளது CVE-2017-1000499 இது phpMyAdmin இல் முந்தைய சிஎஸ்ஆர்எஃப் பாதிப்புகளுக்கு ஒதுக்கப்பட்டது.
கீழ் நான்கு சமீபத்திய சேர்த்தல்கள் உள்ளன சி.வி.இ-2017-1000499 சி.எஸ்.ஆர்.எஃப் பாதிப்பு குடை. இந்த நான்கில் தற்போதைய பயனர் கடவுச்சொல் மாற்ற பாதிப்பு, தன்னிச்சையான கோப்பு எழுதும் பாதிப்பு, டிஎன்எஸ் தகவல்தொடர்பு சங்கிலிகளின் பாதிப்புக்கு மேல் தரவு மீட்டெடுப்பு மற்றும் அனைத்து அட்டவணைகள் பாதிப்புகளிலிருந்தும் வெற்று அனைத்து வரிசைகளும் அடங்கும். PhpMyAdmin MySQL இன் நிர்வாகப் பக்கத்துடன் கையாள்வதால், இந்த நான்கு பாதிப்புகள் முழு தரவுத்தளத்தையும் அதிக ஆபத்தில் வைக்கின்றன, தீங்கிழைக்கும் பயனரை கடவுச்சொற்களை மாற்றவும், தரவை அணுகவும், தரவை நீக்கவும் மற்றும் குறியீடு செயல்படுத்தல் மூலம் பிற கட்டளைகளை செயல்படுத்தவும் அனுமதிக்கிறது.
MySQL என்பது மிகவும் பொதுவான திறந்த மூல தொடர்புடைய தரவுத்தள மேலாண்மை அமைப்பு என்பதால், இந்த பாதிப்புகள் (எண்ணற்ற பிற CVE-2017-100049 CSRF பாதிப்புகளுடன்), மென்பொருளின் அனுபவத்தை சமரசம் செய்கின்றன, இது பல நிறுவனங்களால் நன்கு ஏற்றுக்கொள்ளப்பட்ட மென்பொருளை அனுபவிக்கிறது. மற்றும் பயனுள்ள இடைமுகம்.
சி.எஸ்.ஆர்.எஃப் தாக்குதல்கள் அறியாத பயனரை ஒரு தீங்கிழைக்கும் தாக்குதல் செய்பவர் அதைக் கிளிக் செய்வதன் மூலம் அதைத் தொடர அனுமதிக்கும் கட்டளையைச் செயல்படுத்துகிறது. அனுமதியைக் கேட்கும் ஒரு குறிப்பிட்ட பயன்பாடு உள்நாட்டில் ஒரு பாதுகாப்பான இடத்தில் சேமிக்கப்படுகிறது அல்லது பதிவிறக்கம் செய்யப்படும் ஒரு கோப்பு என்பது தலைப்பில் b எனக் கூறுவது பயனர்கள் வழக்கமாக ஏமாற்றப்படுவார்கள். இந்த வகையான தீங்கிழைக்கும் URL கள் பயனர்கள் அறியாமலேயே கணினியை சமரசம் செய்வதன் மூலம் தாக்குபவரின் நோக்கம் கொண்ட கட்டளைகளை செயல்படுத்துகின்றன.
இந்த பாதிப்பு விற்பனையாளருக்குத் தெரியும் மேலும் பயனரின் சொந்த விருப்பப்படி பயனரைத் தடுக்க முடியாது என்பது தெளிவாகிறது, அதனால்தான் phpMyAdmin மென்பொருளை வெளியிட ஒரு புதுப்பிப்பு தேவைப்படுகிறது. இந்த குறைபாடு 4.7.7 க்கு முன்னர் 4.7.x பதிப்புகளில் உள்ளது, அதாவது பழைய பதிப்புகளைப் பயன்படுத்துபவர்கள் உடனடியாக இருக்க வேண்டும் மேம்படுத்தல் இந்த முக்கியமான தர பாதிப்பைத் தணிக்க சமீபத்திய பதிப்பிற்கு.
