S'ha trobat una vulnerabilitat de falsificació de sol·licituds entre llocs (CSRF) a la versió 4.7.x de phpMyAdmin (abans de la versió 4.7.7) mitjançant la qual els atacants malintencionats poden realitzar operacions fonamentals de bases de dades enganyant els usuaris perquè facin clic a URL creats de manera malintencionada. Aquesta vulnerabilitat s'ha combinat sota l'etiqueta d'identificació CVE CVE-2017-1000499 que també es va assignar a vulnerabilitats CSRF anteriors a phpMyAdmin.
Hi ha quatre darreres incorporacions al fitxer CVE-2017-1000499 Paraigua de vulnerabilitat CSRF. Aquests quatre inclouen una vulnerabilitat actual de modificació de contrasenya d'usuari, una vulnerabilitat d'escriptura de fitxers arbitrària, una recuperació de dades sobre la vulnerabilitat de les cadenes de comunicació DNS i una vulnerabilitat de totes les files buides de totes les taules. Com que phpMyAdmin tracta el vessant d'administració de MySQL, aquestes quatre vulnerabilitats posen en risc el conjunt de la base de dades, cosa que permet a un usuari maliciós canviar contrasenyes, accedir a dades, eliminar dades i realitzar altres ordres mitjançant l'execució de codi.
Com que MySQL és un sistema de gestió de bases de dades relacionals de codi obert força comú, aquestes vulnerabilitats (juntament amb les innombrables vulnerabilitats CSVE de CVE-2017-100049), comprometen l'experiència del programari que ha estat ben adoptat per moltes empreses, sobretot pel seu fàcil ús. interfície eficaç.
Els atacs CSRF fan que un usuari que no ho sap pugui executar una ordre que un atacant malintencionat té intenció fent clic damunt per permetre que continuï. Els usuaris solen ser enganyats per pensar que una aplicació concreta que sol·licita permisos s’emmagatzema localment en un lloc segur o que un fitxer que es descarrega és el que afirma b al títol. Els URL d’aquest tipus elaborats de manera malintencionada fan que els usuaris executin les ordres previstes per l’atacant que comprometen el sistema sense saber-ho.
Aquesta vulnerabilitat és conegut pel venedor i és evident que l’usuari no es pot evitar per si mateix, motiu pel qual requereix una actualització perquè es publiqui el programari phpMyAdmin. Aquest defecte existeix en versions 4.7.x anteriors a 4.7.7, cosa que significa que aquells que encara utilitzen versions anteriors haurien de fer-ho immediatament actualització a la versió més recent per mitigar aquesta vulnerabilitat de grau crític.
