翻译声明 本文是翻译的文章，原作者Eduard Kovacs，文章来源：securityweek.com
原始地址：http://www.securityweek.com/critical-vulnerability-patched-phpmyadmin   phpMyAdmin开发人员发布了修复严重漏洞的更新。该漏洞允许目标管理员通过单击特殊构造的链接来执行恶意数据库操作。 活动背景 phpMyAdmin是一个免费的开源工具，旨在管理Internet上的  MySQL 数据库。 phpMyAdmin 每月下载量超过200,000，是最好的  MySQL 数据库管理工具之一。 phpMyAdmin 广泛用于管理使用  WordPress，Joomla和其他  CMS 创建的网站的多个数据库。 印度研究员  Ashutosh Barot 发现  phpMyAdmin 受CSRF漏洞影响。攻击者可以利用此漏洞实施丢弃表，删除记录等。   事件恢复 如果要运行攻击，管理员需要单击特殊构造的  URL。但是，Barot注意到，只要用户登录到cPanel Web主机管理界面，即使关闭  phpMyAdmin，攻击也会起作用。这种攻击的原因是易受攻击的  phpMyAdmin 版本使用  GET 来请求数据库操作，但无法提供针对  CSRF 缺陷的保护。 Barot 在周五发布的博客文章中说“执行数据库操作的URL存储在浏览器历史记录中。如果用户通过单击 插入，DROP等按钮执行查询，则URL将包含数据库名称。漏洞可能导致敏感信息的泄露，因为URL存储在多个位置，例如浏览器历史记录，SIEM 日志，防火墙日志，Internet服务提供商日志等。“ 研究人员还发现，与  phpMyAdmin 执行的操作相关的  URL 存储在浏览器历史记录中，存在安全隐患。   CSRF 漏洞在phpMyAdmin 中由版本  4.7.7 修复。早于  4.7.x的所有版本都受此安全漏洞的影响。 phpMyAdmin将此漏洞的安全级别评为“严重”，并建议用户更新安装程序或更新已发布的补丁。 phpMyAdmin 4.7.7下载 https://www.phpmyadmin.net/downloads/ phpMyAdmin官方公告 https://www.phpmyadmin.net/security/PMASA-2017-9/ 本文翻译自：securityweek.com   译者：360 Code Guardian
如果转载，请注明出处：securityweek.com 黑客业务列表介绍和一般分类： 类别：攻击入侵破解开发 1：攻击业务订单：暂时取消所有此类业务订单[仅销售常规IDC流量] 2：入侵业务清单：包括网站源代码，办公系统，黑色系统，教育系统等。 3：破解业务类：软件，加密文件，二次打包，脱壳等。 4：二次开发业务清单：软件二次开发，源代码二次开发等 5：其他业务订单：特洛伊木马[通过所有防病毒]，远程控制，特殊软件等 备注：未提及的业务订单可根据主要类别查询或直接联系客户服务。为避免浪费双方时间，请在咨询前阅读：业务交易流程及相关说明 注意:仅接受正式业务，个人无权接受。收集此内容。