phpmyadmin

phpMyAdmin: Une faille 0-day qui affecte toutes les versions

Un chercheur en sécurité a récemment publié les détails et une preuve de concept concernant une vulnérabilité zero-day dans phpMyAdmin, l’une des applications les plus populaires pour gérer les bases données MySQL et MariaDB.

phpMyAdmin (PMA) est une application Web de gestion pour les systèmes de gestion de base de données MySQL réalisée principalement en PHP et distribuée sous licence GNU GPL.

Découverte par le chercheur en sécurité et pentester Manuel Garcia Cardenas, la vulnérabilité est une faille cross-site request forgery (CSRF), sensible aux types d’attaque ou les pirates poussent les utilisateurs authentifiés à exécuter une action non-voulue.

L’identifiant CVE de la vulnérabilité est CVE-2019-12922. La faille a reçu une note d’évaluation moyenne à cause de sa portée limitée qui permet seulement au pirate de supprimer un serveur configuré dans la page d’installation d’un tableau de bord phpMyAdmin.

Mais ce n’est pas parce que l’attaque ne permet pas de supprimer une base de donnée ou une table sur le serveur qu’il ne faut pas s’en soucier.

Le pirate doit juste envoyer une URL spéciale aux administrateurs web ciblés qui sont déjà connecté à phpmyAdmin sur le même navigateur. Il suffit juste qu’ils cliquent sur le lien pour que le serveur configuré soit supprimé sans qu’ils ne le sachent.

“Le pirate peut facilement créer un faux hyperlien contenant la requête qui s’exécute au nom de l’utilisateur, cela rend donc possible une attaque CSRF à cause de la mauvaise utilisation de la méthode HTTP,” a expliqué Cardenas dans un article.

Toutefois, la vulnérabilité est triviale à exploiter car la seule information nécessaire au pirate est l’URL du serveur ciblé, il n’a besoin d’aucune autre information.

Code de la preuve de concept de la faille de phpMyAdmin

phpmyadmin exploit

La faille affecte les versions de phpMyAdmin jusqu’à la version 4.9.0.1 inclus.

La faille de sécurité existe aussi dans phpMyAdmin 5.0.0-alpha1, qui est sorti en Juillet 2019.

Cardenas a découvert cette vulnérabilité en Juin 2019 et l’a signalé aux développeurs du projet.

Cependant, après que les développeurs de phpMyAdmin n’aient pas patché la vulnérabilité durant la période de 90 jours après avoir été notifié, le chercheur a décidé de distribuer les détails de la vulnérabilité et la preuve de concept au public le 13 Septembre.

Que faire à propos de cette faille de phpMyAdmin?

Pour adresser cette vulnérabilité, Cardenas a recommander “d’implémenter dans chaque appel la validation de la variable token, comme c’est déjà le cas avec d’autres requêtes de phpMyAdmin”.

En attendant que la vulnérabilité soit patchée, il est recommandé aux administrateurs de site web et hébergeurs d’éviter de cliquer sur des liens suspects.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire