ASA-2019-00319 – phpMyAdmin: Cross-Site Request Forgery (CSRF) no formulário de login


For the English version of this alert, click here.

Allele Security Alert

ASA-2019-00319

Identificador(es)

ASA-2019-00319, PMASA-2019-4, CVE-2019-12616

Título

Cross-Site Request Forgery (CSRF) no formulário de login

Fabricante(s)

The phpMyAdmin Project

Produto(s)

phpMyAdmin

Versão(ões) afetada(s)

Todas as versões anteriores ao phpMyAdmin 4.9.0 são afetadas, provavelmente pelo menos tão antigas quanto a versão 4.0 (talvez até antes)

Versão(ões) corrigida(s)

phpMyAdmin 4.9.0

Prova de conceito

Desconhecido

Descrição

Foi encontrada uma vulnerabilidade que permite que um atacante dispare um ataque CSRF contra um usuário phpMyAdmin. O atacante pode enganar o usuário, por exemplo, por meio de uma tag <img> quebrada apontando para o banco de dados phpMyAdmin da vítima, e o atacante pode entregar um payload (como uma instrução INSERT ou DELETE específica) pela vítima.

Detalhes técnicos

Desconhecido

Créditos

Mauro Tempesta

Referência(s)

phpMyAdmin - Security - PMASA-2019-4
https://www.phpmyadmin.net/security/PMASA-2019-4

Retrieve parameters from $_POST in AuthenticationCookie plugin
https://github.com/phpmyadmin/phpmyadmin/commit/015c404038c44279d95b6430ee5a0dddc97691ec

CVE-2019-12616
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-12616

CVE-2019-12616
https://nvd.nist.gov/vuln/detail/CVE-2019-12616

Se encontrou algum erro neste alerta ou deseja uma análise compreensiva, entre em contato.

Última modificação: 7 junho 2019

Não somos responsáveis por qualquer perda de dados, corrupção de dispositivos ou qualquer outro tipo de problema devido ao uso de qualquer informação mencionada em nossos alertas de segurança.