انتشار phpMyAdmin نسخه ۴.۸.۵ و رفع آسیب‌پذیری‌های SQL injection و Arbitrary File

نسخه ۴.۸.۵ از نرم‌افزار phpMyAdmin جهت رفع آسیب‌پذیری‌های حیاتی و حفره‌‌های امنیتی، منتشر شد. phpMyAdmin نرم‌افزاری رایگان برای مدیریت پایگاه‌داده MySQL است.

اصلاحات امنیتی phpMyAdmin 4.8.5
۱. Arbitrary File Read (آسیب‌پذیری خواندن فایل دلخواه)
اگر گزینه AllowArbitraryServer بر روی True تنظیم شده باشد، یک مهاجم با فریب دادن سرور MySQL می‌تواند فایل‌هایی را که کاربران وب سرور به آنها دسترسی دارند را بخواند.
این آسیب‌پذیری از جمله آسیب‌پذیری‌های بحرانی محسوب می‌شود و می‌توان با تنظیم AllowArbitraryServer به صورت false از آن پیشگیری کرد.
از نسخه ۴.۰ تا نسخه ۴.۸.۴ نرم‌افزار phpMyAdmin تحت تأثیر این آسیب‌پذیری قرار دارند و از نسخه ۴.۸.۵ به بعد این آسیب‌پذیری در آن رفع شده است.

۲. SQL injection (آسیب‌پذیری تزریق SQL)


مهاجم می‌تواند این آسیب‌پذیری را با یک نام کاربری خاص که می‌تواند برای حمله تزریق SQL استفاده شود، اکسپلویت نماید.
این یک آسیب‌پذیری مهم و خطرناک است و نسخه‌های ۴.۵.۰ تا ۴.۸.۴ نرم‌افزار phpMyAdmin را تحت تأثیر قرار می‌دهد و از نسخه ۴.۸.۵ به بعد در آن رفع شده است.

۳. دیگر حفره‌های اصلاح‌شده

  • در دسترس نبودن Export در قالب SQL
  • عدم نمایش کد QR هنگام اضافه کردن احراز هویت دو مرحله‌ای به یک حساب کاربری
  • مشکل اضافه کردن یک کاربر جدید در نسخه ۸.۰.۱۱ MySQL و نسخه‌های جدیدتر
  • مسدود شدن رابط مربوط به پلاگین Text_Plain_Sql
  • حذف tab مربوط به Table level Operations

منبع خبر: https://gbhackers.com/phpmyadmin-4-8-5-released