0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

Олег Иванов 18 Сентября 2019 - 14:19

...

0-day уязвимость затрагивает все версии phpMyAdmin, патча пока нет

Исследователь в области безопасности опубликовал технические детали и proof-of-concept непропатченной 0-day уязвимости в phpMyAdmin. Самая опасная особенность этой бреши — она затрагивает все версии приложения для управления базами данных.

phpMyAdmin — бесплатный инструмент с открытым исходным кодом. Его используют многие сайты для управления базами данных MySQL и MariaDB.

Мануэль Гарсия Карденас, эксперт в области кибербезопасности, обнаружил уязвимость вида CSRF (cross-site request forgery, также ее называют XSRF). Обычно атакующий может использовать такие бреши, чтобы заставить аутентифицированных пользователей выполнить вредоносное действие.

Проблема безопасности получила идентификатор CVE-2019-12922. Ей присвоили средний уровень опасности, так как деструктивные действия бреши довольно ограничены.

Для эксплуатации уязвимости злоумышленник должен отправить специально созданную ссылку атакуемому веб-администратору. Последний при этом должен быть аутентифицирован в панели phpMyAdmin в том же браузере.

«Атакующий легко может создать поддельную гиперссылку, содержащую запрос, который выполнится от лица пользователя. В этом случае открывается возможность для атаки вида CSRF из-за неправильного использования HTTP-метода», — объясняет Карденас.

Эксперт обнаружил уязвимость в июне, после чего передал информацию о ней разработчикам. Поскольку они не уложились в 90-дневный срок, Карденас решил опубликовать технические детали проблемы. Патча в настоящее время не существует.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 05 Марта 2025 - 08:54

macOS iOS Общее Защита персональных данных Apple

Apple оспаривает требования Лондона открыть доступ к данным в iCloud

Apple подала апелляцию в Трибунал по надзору за следственными полномочиями (Investigatory Powers Tribunal, IPT) с целью оспорить требования властей Великобритании внедрить бэкдор для доступа к зашифрованным файлам в iCloud.

Как сообщает Financial Times, инстанция теперь должна определить, являются ли требования законными. Если их признают нелегитимным, Apple сможет сохранить пользовательские данные в безопасности.

Как мы писали в начале февраля, британские власти направили Apple требование обеспечить бэкдор для доступа ко всему контенту, загружаемому пользователями iCloud по всему миру.

После получения распоряжения Apple приостановила поддержку Advanced Data Protection в Великобритании, а теперь пытается полностью нивелировать указания Лондона.

Британские власти не подтверждают и не опровергают наличие требований. Однако если суд примет сторону Туманного Альбиона, это может повлиять не только на пользователей iCloud в отдельно взятой стране, но и на безопасность данных владельцев «яблочных» устройств по всему миру.

Официальных комментариев от техногиганта из Купертино пока не было.