Создатели phpMyAdmin, одной из распространенных систем управления базами данных (БД) MySQL, устранили несколько серьезных уязвимостей, грозивших потерей контроля над веб-серверами.

Система с открытым кодом позволяет администраторам работать с базами MySQL через браузер. Разработчики многих CMS-платформ, включая WordPress и Joomla, интегрируют phpMyAdmin в свои сервисы, упрощая веб-мастерам управление контентом.

Опубликованный 12 декабря патч вместе с множеством мелких ошибок устранил три критические бреши:

  • PHP-инъекция (CVE-2018-19968)— злоумышленник мог удаленно прочитать закрытую информацию из сохраненных на сервере файлов. Воспользоваться уязвимостью можно только от лица авторизованного пользователя, т. е. преступнику нужно заранее раздобыть актуальные учетные данные. Угроза актуальна для версий phpMyAdmin 0–4.8.3.
  • Подделка межсайтовых запросов (CVE-2018-19969)— брешь позволяла вносить изменения в БД: переименовывать их, создавать новые таблицы, регистрировать и удалять пользователей, менять пароли и останавливать процессы SQL. Для успешной атаки пользователь должен пройти по специальной ссылке с вредоносным запросом. Уязвимыми оказались версии phpMyAdmin 7.0–4.7.6 и 4.8.0–4.8.3.
  • Межсайтовый скриптинг (CVE-2018-19970) — преступник мог внедрить опасный код, используя особым образом составленное имя таблицы или БД. Эта брешь обнаружилась в системах версий 0–4.8.3.

За несколько дней до выхода обновления разработчики опубликовали в своем блоге анонс, чтобы дать веб-мастерам и провайдерам возможность подготовиться к апдейту. По словам релиз-менеджера phpMyAdmin Айзека Беннетча (Isaac Bennetch), команда берет пример с лидеров рынка, которые нередко выпускают такие сообщения перед важными патчами.

В ноябре ИБ-эксперты продемонстрировали рабочий способ угона интернет-магазина на WordPress через уязвимости стороннего плагина и собственной системы авторизации. По словам специалистов, метод угрожал 4 млн веб-ресурсов, которые добавили опасное ПО в свой код.

Категории: Кибероборона, Уязвимости