Det er funnet et sårbarhet på tvers av nettstedet Request Forgery (CSRF) i phpMyAdmin versjon 4.7.x (før versjon 4.7.7), gjennom hvilken ondsinnede angripere er i stand til å utføre grunnleggende databaseaksjoner ved å lure brukere til å klikke på ondsinnede URL-er. Dette sikkerhetsproblemet er kombinert under CVE-identifikasjonsmerket CVE-2017-1000499 som også ble tildelt tidligere CSRF-sårbarheter i phpMyAdmin.
Det er fire siste tilskudd under CVE-2017-1000499 CSRF-sårbarhetsparaply. Disse fire inkluderer et gjeldende sikkerhetsproblem for endring av brukerpassord, et vilkårlig sikkerhetsproblem med filskriving, datainnhenting over sårbarheten for DNS-kommunikasjonskjeder og en tom sårbarhet fra alle rader. Da phpMyAdmin håndterer administrasjonssiden av MySQL, setter disse fire sårbarhetene hele databasen i høy risiko, slik at en ondsinnet bruker kan endre passord, få tilgang til data, slette data og utføre andre kommandoer gjennom kodeutførelse.
Ettersom MySQL er et ganske vanlig open source relasjonelt databasestyringssystem, kompromitterer disse sårbarhetene (sammen med de utallige andre CVE-2017-100049 CSRF-sårbarhetene) opplevelsen av programvaren som er blitt godt adoptert av mange bedrifter, spesielt for den enkle å bruke og effektivt grensesnitt.
CSRF-angrep får en uvitende bruker til å utføre en kommando som en ondsinnet angriper har til hensikt ved å klikke på den for å la den fortsette. Brukere blir vanligvis lurt til å tro at et bestemt program som ber om tillatelser, er lagret lokalt på et sikkert sted, eller at en fil som lastes ned er det den hevder å b i tittelen. Ondsinnet utformede nettadresser av denne typen får brukere til å utføre angriperens tiltenkte kommandoer uten å bevisst kompromittere systemet.
Denne sårbarheten er kjent for leverandøren og det er tydelig at brukeren ikke kan forhindres på brukerens egen vilje, og det er derfor det krever en oppdatering for at phpMyAdmin-programvaren skal utgis. Denne feilen eksisterer i 4.7.x-versjoner før 4.7.7, noe som betyr at de som fortsatt bruker eldre versjoner umiddelbart Oppgradering til den nyeste versjonen for å redusere dette kritiske sikkerhetsproblemet.
