U phpMyAdmin inačici 4.7.x (prije verzije 4.7.7) pronađena je ranjivost krivotvorenja zahtjeva za više web lokacija (CSRF) putem koje zlonamjerni napadači mogu izvoditi temeljne operacije baze podataka prevarajući korisnike da kliknu na zlonamjerno izrađene URL-ove. Ova ranjivost kombinirana je pod identifikacijskom oznakom CVE CVE-2017-1000499 koja je dodijeljena i prethodnim CSRF ranjivostima u phpMyAdminu.
Postoje četiri najnovija dodatka pod CVE-2017-1000499 CSRF kišobran ranjivosti. To četvero uključuje ranjivost trenutne modifikacije korisničke lozinke, proizvoljnu ranjivost prilikom upisivanja datoteka, preuzimanje podataka preko ranjivosti DNS komunikacijskih lanaca i ranjivost svih redaka iz svih tablica. Kako se phpMyAdmin bavi administrativnom stranom MySQL-a, ove četiri ranjivosti izlažu cijelu bazu podataka visokom riziku, dopuštajući zlonamjernom korisniku da mijenja lozinke, pristupa podacima, briše podatke i izvršava druge naredbe izvršavanjem koda.
Budući da je MySQL prilično uobičajeni sustav upravljanja relacijskim bazama podataka otvorenog koda, ove ranjivosti (zajedno s bezbroj drugih ranjivosti CVE-2017-100049 CSRF) ugrožavaju iskustvo softvera koje su mnoga poduzeća dobro prihvatila, posebno zbog jednostavnosti upotrebe i učinkovito sučelje.
CSRF napadi uzrokuju da korisnik koji ne zna izvrši naredbu koju zlonamjerni napadač namjerava kliknuti na njega kako bi mu omogućio nastavak. Korisnike obično zavaravaju da misle da je određena aplikacija koja traži dopuštenja lokalno pohranjena na sigurno mjesto ili da je datoteka koja se preuzima ono što tvrdi da b u naslovu. Zlonamjerno izrađeni URL-ovi ove vrste uzrokuju da korisnici izvršavaju naredbe napadača nesvjesno ugrožavajući sustav.
Ova ranjivost je poznat dobavljaču i očito je da korisnika ne može spriječiti samovoljno, zbog čega je potrebno ažuriranje softvera phpMyAdmin. Ovaj nedostatak postoji u verzijama 4.7.x prije 4.7.7, što znači da bi oni koji još uvijek koriste starije verzije trebali odmah nadograditi do najnovije verzije za ublažavanje ove kritične ocjene ranjivosti.
