Skip to content
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

C’est le moment de mettre à jour (ou de désinstaller) PhpMyAdmin

Avis aux utilisateurs de PhpMyAdmin

Le chercheur en sécurité Ashutosh Barot a découvert dans les versions < 4.7.7 du célèbre outil de gestion de base MySQL / MariaDB, une faille de type CSRF qui permettrait à un attaquant, via un simple clic sur une URL forgée envoyée à un utilisateur admin, de supprimer des enregistrements, voire vider des tables.

Démonstration :

« Ho un email de Natasha »

*clic*

« Ho un email de mon boss pour me dire qu’on n’a plus rien sur le site »

En effet, PhpMyAdmin utilise des requêtes GET pour effectuer des opérations sensibles comme un DROP TABLE donc ça devient plutôt simple de tromper l’admin pour lui faire passer des requêtes GET mortelles.

Voici une (vraie) démonstration de l’attaque :

En passant, je ne sais pas si vous avez vu mais l’hébergeur Hostinger propose des offres super intéressantes en matière d’hébergement web. C’est pas trop cher pour démarrer et s’auto-héberger. (Lien partenaire)

L’attaque fonctionne aussi sur les utilisateurs de CPanel qui auraient fermé les fenêtres de PhpMyAdmin.

Notez que depuis plusieurs années, je ne recommande plus l’utilisation de PhpMyAdmin. Préférez plutôt la mise en place temporaire d’un outil comme Adminer que vous pourrez supprimer après avoir fini vos manipulations. C’est plus safe.

Tous les détails techniques se trouvent ici.

Merci à Wallerand pour l’info !

Source


Quel VPN choisir ?

Si tu es à la recherche d’un service de VPN qui à la fois protège ton anonymat, te permet d’accéder à des sites bloqués dans ton pays en changeant d’IP et qui te donne accès aux catalogues étrangers de Netflix, Amazon…etc, j’ai ce qu’il te faut.

En passant, je ne sais pas si vous avez vu mais l’hébergeur Hostinger propose des offres super intéressantes en matière d’hébergement web. C’est pas trop cher pour démarrer et s’auto-héberger. (Lien partenaire)

Découvre le VPN de Cyberghost

Lien partenaire

Les articles du moment