• 發布單位:TWCERT/CC
• 更新日期:2020-05-20
• 點閱次數:1696

• CVE編號：CVE-2019-12922

資安研究人員在使用率極高的開源 MySQL 網頁管理界面 phpMyAdmin 中，發現一個中等嚴重程度的 0-day 資安濡洞，駭侵者可用以刪除受害用戶的網頁伺服器。

研究報告指出，這個 0-day 漏洞屬於典型的 CSRF 漏洞，駭侵者可以藉由發送某個特別設計的 URL 給具有管理權限，且已登入其 phpMyAdmin 系統的用戶，受者者點按該連結後，即可在受害者不知情的情形下，刪除利用 phpMyAdmin 設定的 MySQL 資料庫。

此 0-day 漏洞雖然會刪除網頁伺服器，但並不會刪除資料庫本身或任何資料庫中的表格。

此外資安研究人員在今年六月發現此一漏洞時，立即通報給 phpMyAdmin 的維護團隊，但該團隊未能在九十天內修復此漏洞；目前該漏洞亦尚未修復。

• 影響產品：phpMyAdmin 4.9.0.1 在內的各已推出版本
• 解決方案：尚無，資料庫管理者應避免點按可疑連結