Une vulnérabilité de sécurité modérée a été signalée dans phpMyAdmin qui pourrait permettre à des attaquants d’effectuer des opérations de base de données dangereuses en téléchargeant un fichier .sql spécialement conçu.
phpMyAdmin est un outil gratuit et open-source conçu pour gérer les bases de données MySQL et MariaDB sur Internet. Avec plus de 200 000 téléchargements chaque mois, phpMyAdmin est l’un des meilleurs outils d’administration de base de données MySQL.
Découvert par le chercheur en sécurité, Erol Guven, la vulnérabilité est une attaque de script intersite (XSS) et affecte les versions de phpMyAdmin antérieures à 4.9.11 et 5.2.1. La vulnérabilité existe depuis la publication de la version 4.3.0.
Selon un avis publié par phpMyAdmin, « Une vulnérabilité XSS a été découverte où un utilisateur authentifié peut déclencher une attaque XSS en téléchargeant un fichier .sql spécialement conçu via l’interface glisser-déposer. »
Les développeurs de phpMyAdmin ont corrigé la vulnérabilité XSS trouvée par Erol avec la sortie des versions 5.1.2 ou 4.9.11. phpMyAdmin a été classé comme « modéré ». Il est fortement recommandé aux administrateurs de sites Web et aux hébergeurs d’installer immédiatement la dernière mise à jour ou les derniers correctifs.
« En désactivant la directive de configuration `$cfg[‘enable_drag_drop_import’]`, les utilisateurs ne pourront pas utiliser le téléchargement par glisser-déposer qui protégerait contre la vulnérabilité. »
