Avis aux utilisateurs de PhpMyAdmin...
Le chercheur en sécurité Ashutosh Barot a découvert dans les versions < 4.7.7 du célèbre outil de gestion de base MySQL / MariaDB, une faille
Démonstration :
En effet, PhpMyAdmin utilise des requêtes GET pour effectuer des opérations sensibles comme un DROP TABLE donc ça devient plutôt simple de tromper l'admin pour lui faire passer des requêtes GET mortelles.
Voici une (vraie) démonstration de l'attaque :
L'attaque fonctionne aussi sur les utilisateurs de CPanel qui auraient fermé les fenêtres de PhpMyAdmin.
Notez que depuis plusieurs années, je ne recommande plus l'utilisation de PhpMyAdmin. Préférez plutôt la mise en place temporaire d'un outil comme
Tous les détails techniques
Source :
Le chercheur en sécurité Ashutosh Barot a découvert dans les versions < 4.7.7 du célèbre outil de gestion de base MySQL / MariaDB, une faille
Please,
Connexion
or
S'inscrire
to view URLs content!
qui permettrait à un attaquant, via un simple clic sur une URL forgée envoyée à un utilisateur admin, de supprimer des enregistrements, voire vider des tables.Démonstration :
Please, Connexion or S'inscrire to view quote content!
En effet, PhpMyAdmin utilise des requêtes GET pour effectuer des opérations sensibles comme un DROP TABLE donc ça devient plutôt simple de tromper l'admin pour lui faire passer des requêtes GET mortelles.
Voici une (vraie) démonstration de l'attaque :
L'attaque fonctionne aussi sur les utilisateurs de CPanel qui auraient fermé les fenêtres de PhpMyAdmin.
Notez que depuis plusieurs années, je ne recommande plus l'utilisation de PhpMyAdmin. Préférez plutôt la mise en place temporaire d'un outil comme
Please,
Connexion
or
S'inscrire
to view URLs content!
que vous pourrez supprimer après avoir fini vos manipulations. C'est plus safe.Tous les détails techniques
Please,
Connexion
or
S'inscrire
to view URLs content!
.Source :
Please,
Connexion
or
S'inscrire
to view URLs content!
& Please,
Connexion
or
S'inscrire
to view URLs content!