Еще в прошлые выходные разработчики phpMyAdmin заранее предупреждали, что на этой неделе выйдет крайне важное обновление безопасности, и просили администраторов установить его без промедления. Разработчики писали, что таким образом они хотят попробовать действовать по модели, которую уже применяют их коллеги из Mediawiki и не только: анонсировать обновления заранее, давая пользователям больше времени на подготовку к патчу.
На этой неделе действительно была представлена phpMyAdmin 4.8.4, где устранили ряд критических багов, позволяющих атакующему взять уязвимый веб-сервер под свой контроль. Хотя в целом проблем в phpMyAdmin было исправлено много, критических уязвимостей оказалось три.
CVE-2018-19968: проблема типа File Inclusion, перед которой были уязвимы установки phpMyAdmin как минимум от 4.0 до 4.8.3. Позволяла удаленному атакующему читать содержимое локальных файлов, впрочем злоумышленнику все равно требовались действительные учетные данные от phpMyAdmin, так как миновать систему логина проблема не помогала, а также доступ к phpMyAdmin Configuration Storage.
CVE-2018-19969: CSRF/XSRF уязвимость, угрожавшая версиям от 4.7.0 до 4.7.6 и 4.8.0 до 4.8.3. С помощью данного бага атакующий мог осуществлять «вредоносные SQL-операции», то есть переименовывать БД, добавлять и удалять пользователей, изменять пароли пользователей, завершать процессы SQL, создавать новые таблицы и так далее.
CVE-2018-19970: XSS уязвимость в дереве навигации, представлявшая опасность для версий от 4.0 до 4.8.3. Злоумышленник мог доставить пейлоад пользователю, использовав специально созданное имя таблицы или БД.