ພົບຊ່ອງໂຫວ່ SQL injection ມີຜົນກະທົບກັບ phpMyAdmin ກ່ອນເວີຊັ່ນ 4.9.5 ແລະ 5.0.2
Posted by Meesaisak on March 30 2020 18:28:30

ພົບ​ຊ່ອງ​ໂຫວ່​ SQL injection ມີຜົນກະທົບ​ກັບ​ phpMyAdmin ກ່ອນ​ເວີ​ຊັ່ນ​ 4.9.5 ແລະ​ 5.0.2 

 

ພົບ​ຊ່ອງ​ໂຫວ່​ SQL injection ເທິງ​ phpMyAdmin ຊ່ອງ​ໂຫວ່​ “CVE-2020-10802”, “CVE-2020-10803”, “CVE-2020-10804” ລາຍ​ງານ​ໂດຍ​ຜູ້​ໃຊ້​ບັນຊີ​ທະວິດ​ເຕີ​ (Twitter)​ ຊື່​ hoangn144_VCS, bluebird, Yutaka WATANABE ໃນວັນທີ​ 20 ມີ​ນາ 2020 ທີ່​ຜ່ານມາ​.

CVE-2020-10802 (CVSS 8.0): ເປັນ​ຊ່ອງ​ໂຫວ່​ SQL injection ທີ່​ເກີດ​ຈາກ​​ຂໍ້​ຜິດ​ພາດ​ໃນ​ການສ້າງ​ພາ​ຣາ​ມິ​ເຕີ​ (Parameter) ​ໃນ​ຂັ້ນ​ຕອນ​ຂອງການ​ຄົ້ນ​ຫາ​ພາຍ​ໃນ​ phpMyAdmin,  ການ​ໂຈມ​ຕີ​ຈະ​ເກີດ​ເມື່ອ​ຜູ້​ໃຊ້​ງານ​ດຳ​ເນີນ​ການ​ຄົ້ນ​ຫາ​ດ້ວຍ​ການ​ໃສ່​ຕົວອັກສອນ​ພິເສດ​ລົງ​ໄປ​ເທິງ​ຖານ​ຂໍ້​ມູນ​ ຫຼື ຕາ​ຕະ​ລາງ ​ທີ່​ຜູ້​ໂຈມ​ຕີ​ສ້າງ​ຂຶ້ນ​ມາ​ ເພື່ອ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​.


Extended News

ພົບ​ຊ່ອງ​ໂຫວ່​ SQL injection ມີຜົນກະທົບ​ກັບ​ phpMyAdmin ກ່ອນ​ເວີ​ຊັ່ນ​ 4.9.5 ແລະ​ 5.0.2

 

ພົບ​ຊ່ອງ​ໂຫວ່​ SQL injection ເທິງ​ phpMyAdmin ຊ່ອງ​ໂຫວ່​ “CVE-2020-10802”, “CVE-2020-10803”, “CVE-2020-10804” ລາຍ​ງານ​ໂດຍ​ຜູ້​ໃຊ້​ບັນຊີ​ທະວິດ​ເຕີ​ (Twitter)​ ຊື່​ hoangn144_VCS, bluebird, Yutaka WATANABE ໃນວັນທີ​ 20 ມີ​ນາ 2020 ທີ່​ຜ່ານມາ​.

CVE-2020-10802 (CVSS 8.0): ເປັນ​ຊ່ອງ​ໂຫວ່​ SQL injection ທີ່​ເກີດ​ຈາກ​​ຂໍ້​ຜິດ​ພາດ​ໃນ​ການສ້າງ​ພາ​ຣາ​ມິ​ເຕີ​ (Parameter) ​ໃນ​ຂັ້ນ​ຕອນ​ຂອງການ​ຄົ້ນ​ຫາ​ພາຍ​ໃນ​ phpMyAdmin,  ການ​ໂຈມ​ຕີ​ຈະ​ເກີດ​ເມື່ອ​ຜູ້​ໃຊ້​ງານ​ດຳ​ເນີນ​ການ​ຄົ້ນ​ຫາ​ດ້ວຍ​ການ​ໃສ່​ຕົວອັກສອນ​ພິເສດ​ລົງ​ໄປ​ເທິງ​ຖານ​ຂໍ້​ມູນ​ ຫຼື ຕາ​ຕະ​ລາງ ​ທີ່​ຜູ້​ໂຈມ​ຕີ​ສ້າງ​ຂຶ້ນ​ມາ​ ເພື່ອ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​.

CVE-2020-10803 (CVSS 5.4): ເປັນ​ຊ່ອງ​ໂຫວ່​ SQL injection ທີ່​ເກີດ​ຈາກການ​ເອີ້ນ​ໃຊ້​ໂຄດ (Code) ​ເພື່ອຈະ​ດຳ​ເນີນ​ການ​ແຊກ​ຂໍ້​ມູນ​ທີ່​ສ້າງ​ຂຶ້ນ​ໃນ​ຖານ​ຂໍ້​ມູນ​ ເມື່ອ​ຜູ້​ໃຊ້​ດຶງ​ ຫຼື ເອີ້ນ​ເບິ່ງ​ຖານ​ຂໍ້​ມູນ​ ຈະ​ສາມາດ​​ໂຈມ​ຕີ​ໃນ​ຮູບ​ແບບ​ XSS (Cross-site scripting) ໄດ້​ ໃນ​ການ​ສະເ​ເດ​ງ​ຜົນ​.

CVE-2020-10804 (CVSS 8.0): ເປັນ​ຊ່ອງ​ໂຫວ່​ SQL injection ທີ່ດຶງ​ຂໍ້​ມູນ​ username ທີ່​ມີ​ຢູ່​ ແລະ ​ສ້າງ​ username ເພື່ອ​ຫຼອກລວງ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ດຳ​ເນີນ​ການ​ບາງຢ່າງ​ ເຊັ່ນ: ​ການແກ້​ໄຂ​ສິດທິ​ຜູ້​ໃຊ້​ງານ​, ຊ່ອງ​ໂຫວ່​ນີ້​ຍັງ​ເຮັດໃຫ້​ເກີດ​ຂໍ້​ຜິດ​ພາດ​ໃນ​ການ​ປ່ຽນ​ລະຫັດຜ່ານ​ MySQL ຂອງ​ຜູ້​ໃຊ້​ງານໄດ້.

ຜົນກະທົບ

phpMyAdmin ເວີ​​ຊັ່ນ​ 4.9.x ກ່ອນ​ 4.9.5 ແລະ​ ເວີ​ຊັ່ນ​ 5.0.x ກ່ອນ​ 5.0.2 ໄດ້ຮັບ​ຜົນກະ​ທົບ.​

ຂໍ້ແນະນໍາໃນກນປ້ອງກັນ ແລະ ແກ້ໄຂ

ອັບ​ເກດ​ phpMyAdmin ເປັນ​ເວີ​ຊັ່ນ​ 4.9.5 ແລະ 5.0.2 ຫຼື ​ໃໝ່​ກວ່າ​ນັ້ນ.

 

ເອກະສານອ້າງອີງ:

  1. https://www.phpmyadmin.net/security/PMASA-2020-2/
  2. https://www.phpmyadmin.net/security/PMASA-2020-3/
  3. https://www.phpmyadmin.net/security/PMASA-2020-4/
  4. https://www.facebook.com/187949347882491/posts/3154312027912860/