Ang isang kahinaan sa Cross-Site Request Forgery (CSRF) ay natagpuan sa phpMyAdmin bersyon 4.7.x (bago ang bersyon 4.7.7) kung saan nagagawa ng mga nakakahamak na umaatake ang pangunahing mga pagpapatakbo ng database sa pamamagitan ng panloloko sa mga gumagamit sa pag-click sa mga nakamamatay na URL na ginawa. Ang kahinaan na ito ay pinagsama sa ilalim ng label ng pagkakakilanlan ng CVE na CVE-2017-1000499 na nakatalaga sa nakaraang mga kahinaan sa CSRF sa phpMyAdmin din.
Mayroong apat na pinakabagong mga karagdagan sa ilalim ng CVE-2017-1000499 Payong sa kahinaan ng CSRF. Ang apat na ito ay nagsasama ng isang kasalukuyang kahinaan ng pagbabago ng password ng gumagamit, isang di-makatwirang pagsusulat ng file, isang pagkuha ng data sa kahinaan ng mga kadena ng komunikasyon sa DNS, at isang walang laman na lahat ng mga hilera mula sa lahat ng kahinaan ng mga talahanayan. Tulad ng pakikitungo ng phpMyAdmin sa panig ng pangangasiwa ng MySQL, inilalagay ng apat na kahinaan na ito ang buong database na may mataas na peligro, na pinapayagan ang isang mapanirang gumagamit na baguhin ang mga password, ma-access ang data, tanggalin ang data, at isakatuparan ang iba pang mga utos sa pamamagitan ng pagpapatupad ng code.
Tulad ng MySQL ay isang pangkaraniwang bukas na mapagkukunan ng pamanggit na sistema ng pamamahala ng database, ang mga kahinaan na ito (kasama ang hindi mabilang na iba pang mga kahinaan sa CVE-2017-100049 CSRF), ikompromiso ang karanasan ng software na mahusay na pinagtibay ng maraming negosyo partikular sa madaling gamitin. at mabisang interface.
Ang mga pag-atake ng CSRF ay sanhi ng isang hindi alam na gumagamit na magsagawa ng isang utos na nilalayon ng isang nakakahamak na umaatake sa pamamagitan ng pag-click dito upang payagan itong magpatuloy. Karaniwan ay niloko ang mga gumagamit na isipin na ang isang partikular na application na humihiling ng mga pahintulot ay lokal na nakaimbak sa isang ligtas na lugar o ang isang file na nai-download ang inaangkin nito sa pamagat. Ang mga nakakahamak na paggawa ng mga URL ng ganitong uri ay nagsasanhi sa mga gumagamit na isakatuparan ang mga inilaan na utos ng umaatake na hindi namamalayan na nakompromiso ang system.
Ang kahinaan na ito ay kilala ng nagtitinda at maliwanag na ang gumagamit na ito ay hindi maaaring mapigilan sa sariling kasunduan ng gumagamit kung kaya't nangangailangan ito ng isang pag-update para sa phpMyAdmin software na pinakawalan. Ang kapintasan na ito ay umiiral sa mga bersyon ng 4.7.x bago ang 4.7.7 na nangangahulugang ang mga gumagamit pa rin ng mas matandang mga bersyon ay dapat agad mag-upgrade sa pinakabagong bersyon upang mapagaan ang kritikal na antas ng kahinaan na ito.
