পিএইচপিএমএইডমিন ৪.7.x এ সিএসআরএফের ক্ষতিগ্রস্থতা আক্রমণকারীরা দূষিত ইউআরএলগুলির মাধ্যমে রেকর্ডগুলি মুছতে দেয় - অ্যাপ্লিকেশনস ডটকম

পিএইচপিএমএইডমিন 4.7.x এ সিএসআরএফের ক্ষতিগ্রস্থতা আক্রমণকারীরা দূষিত ইউআরএলগুলির মাধ্যমে রেকর্ডগুলি মুছতে দেয়

সুরক্ষা / পিএইচপিএমএইডমিন 4.7.x এ সিএসআরএফের ক্ষতিগ্রস্থতা আক্রমণকারীরা দূষিত ইউআরএলগুলির মাধ্যমে রেকর্ডগুলি মুছতে দেয় 1 মিনিট পঠিত

ক্রস-সাইট রিকোয়েস্ট ফোরজি (সিএসআরএফ) দুর্বলতাটি পিএইচপিএমইএডমিন সংস্করণ ৪.7.x (সংস্করণ ৪.7..7) এর মধ্যে পাওয়া গেছে যার মাধ্যমে দূষিত আক্রমণকারীরা ব্যবহারকারীদেরকে বিদ্বেষপূর্ণভাবে কারুকার্যযুক্ত ইউআরএল ক্লিক করে ট্র্যাঙ্ক করে মৌলিক ডাটাবেস ক্রিয়াকলাপ করতে সক্ষম হয়। এই দুর্বলতা CVE- সনাক্তকরণ লেবেল CVE-2017-1000499 এর অধীনে একত্রিত করা হয়েছে যা পিএইচপিএমআইএডমিনে আগের সিএসআরএফ দুর্বলতার জন্যও বরাদ্দ করা হয়েছিল।

এর অধীনে সর্বশেষ চারটি সংযোজন রয়েছে CVE-2017-1000499 সিএসআরএফ দুর্বলতার ছাতা। এই চারটিতে বর্তমান ব্যবহারকারীর পাসওয়ার্ড সংশোধন দুর্বলতা, একটি স্বেচ্ছাসেবী ফাইল লেখার দুর্বলতা, ডিএনএস যোগাযোগের চেইনের দুর্বলতার উপর একটি তথ্য পুনরুদ্ধার এবং সমস্ত টেবিলের দুর্বলতা থেকে খালি সমস্ত সারি অন্তর্ভুক্ত রয়েছে। যেমন পিএইচপিএমআইএডমিন মাইএসকিউএল প্রশাসনের পক্ষের সাথে সম্পর্কিত, এই চারটি দুর্বলতা পুরো ডেটাবেসকে উচ্চ ঝুঁকিতে ফেলেছে, একটি দূষিত ব্যবহারকারীকে পাসওয়ার্ড পরিবর্তন করতে, ডেটা অ্যাক্সেস করতে, ডেটা মুছতে এবং কোড এক্সিকিউশনের মাধ্যমে অন্যান্য কমান্ড কার্যকর করতে সক্ষম করে।

যেহেতু মাইএসকিউএল একটি সাধারণ ওপেন সোর্স রিলেশনাল ডাটাবেস ম্যানেজমেন্ট সিস্টেম, এই দুর্বলতাগুলি (অগণিত অন্যান্য সিভিই-2017-100049 সিএসআরএফ দুর্বলতাগুলির সাথে), সফ্টওয়্যারটির অভিজ্ঞতার সাথে আপস করে যা বেশ কয়েকটি উদ্যোগের দ্বারা বিশেষত এটির সহজ ব্যবহারের জন্য ভালভাবে গ্রহণ করা হয়েছে এবং কার্যকর ইন্টারফেস।

সিএসআরএফ আক্রমণগুলি অজ্ঞাতসারে ব্যবহারকারীকে এমন আদেশটি সম্পাদন করতে পরিচালিত করে যে কোনও দূষিত আক্রমণকারী এটিতে এগিয়ে যাওয়ার জন্য এটিতে ক্লিক করে এটিতে ক্লিক করে। ব্যবহারকারীরা সাধারণত এই ভেবে ভ্রান্ত হয় যে অনুমতি চেয়েছে এমন একটি নির্দিষ্ট অ্যাপ্লিকেশন স্থানীয়ভাবে একটি নিরাপদ স্থানে সংরক্ষণ করা হয়েছে বা একটি ফাইল ডাউনলোড করা হচ্ছে এটি শিরোনামে দাবি করে। এই ধরণের ক্ষতিকারকভাবে তৈরি করা ইউআরএল ব্যবহারকারীরা অজান্তেই সিস্টেমে আপোস করার জন্য আক্রমণকারীর উদ্দেশ্যযুক্ত আদেশগুলি পরিচালনা করে।

হত্যাকারীর ধর্মের উৎপত্তি ক্র্যাশ করে চলেছে

এই দুর্বলতা হ'ল বিক্রেতার কাছে পরিচিত এবং এটা স্পষ্ট যে এটি ব্যবহারকারীর নিজস্ব ইচ্ছায় বাধা দেওয়া যায় না এজন্য পিএইচপিএমওয়াই অ্যাডমিন সফ্টওয়্যার প্রকাশ করার জন্য এটির আপডেট দরকার requires এই ত্রুটিটি 7.7. to এর পূর্বে ৪. 4..x সংস্করণে বিদ্যমান রয়েছে যার অর্থ এখনও যারা পুরানো সংস্করণ ব্যবহার করছেন তাদের অবিলম্বে উচিত আপগ্রেড এই গুরুতর গ্রেড দুর্বলতা প্রশমিত করতে সর্বশেষতম সংস্করণে।