CVE-2020-10802 (CVSS 8.0): ເປັນ​ຊ່ອງ​ໂຫວ່​ SQL injection ທີ່​ເກີດ​ຈາກ​​ຂໍ້​ຜິດ​ພາດ​ໃນ​ການສ້າງ​ພາ​ຣາ​ມິ​ເຕີ​ (Parameter) ​ໃນ​ຂັ້ນ​ຕອນ​ຂອງການ​ຄົ້ນ​ຫາ​ພາຍ​ໃນ​ phpMyAdmin,  ການ​ໂຈມ​ຕີ​ຈະ​ເກີດ​ເມື່ອ​ຜູ້​ໃຊ້​ງານ​ດຳ​ເນີນ​ການ​ຄົ້ນ​ຫາ​ດ້ວຍ​ການ​ໃສ່​ຕົວອັກສອນ​ພິເສດ​ລົງ​ໄປ​ເທິງ​ຖານ​ຂໍ້​ມູນ​ ຫຼື ຕາ​ຕະ​ລາງ ​ທີ່​ຜູ້​ໂຈມ​ຕີ​ສ້າງ​ຂຶ້ນ​ມາ​ ເພື່ອ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​.

CVE-2020-10803 (CVSS 5.4): ເປັນ​ຊ່ອງ​ໂຫວ່​ SQL injection ທີ່​ເກີດ​ຈາກການ​ເອີ້ນ​ໃຊ້​ໂຄດ (Code) ​ເພື່ອຈະ​ດຳ​ເນີນ​ການ​ແຊກ​ຂໍ້​ມູນ​ທີ່​ສ້າງ​ຂຶ້ນ​ໃນ​ຖານ​ຂໍ້​ມູນ​ ເມື່ອ​ຜູ້​ໃຊ້​ດຶງ​ ຫຼື ເອີ້ນ​ເບິ່ງ​ຖານ​ຂໍ້​ມູນ​ ຈະ​ສາມາດ​​ໂຈມ​ຕີ​ໃນ​ຮູບ​ແບບ​ XSS (Cross-site scripting) ໄດ້​ ໃນ​ການ​ສະເ​ເດ​ງ​ຜົນ​.

CVE-2020-10804 (CVSS 8.0): ເປັນ​ຊ່ອງ​ໂຫວ່​ SQL injection ທີ່ດຶງ​ຂໍ້​ມູນ​ username ທີ່​ມີ​ຢູ່​ ແລະ ​ສ້າງ​ username ເພື່ອ​ຫຼອກລວງ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ດຳ​ເນີນ​ການ​ບາງຢ່າງ​ ເຊັ່ນ: ​ການແກ້​ໄຂ​ສິດທິ​ຜູ້​ໃຊ້​ງານ​, ຊ່ອງ​ໂຫວ່​ນີ້​ຍັງ​ເຮັດໃຫ້​ເກີດ​ຂໍ້​ຜິດ​ພາດ​ໃນ​ການ​ປ່ຽນ​ລະຫັດຜ່ານ​ MySQL ຂອງ​ຜູ້​ໃຊ້​ງານໄດ້.

ຜົນກະທົບ

phpMyAdmin ເວີ​​ຊັ່ນ​ 4.9.x ກ່ອນ​ 4.9.5 ແລະ​ ເວີ​ຊັ່ນ​ 5.0.x ກ່ອນ​ 5.0.2 ໄດ້ຮັບ​ຜົນກະ​ທົບ.​

ຂໍ້ແນະນໍາໃນກນປ້ອງກັນ ແລະ ແກ້ໄຂ

ອັບ​ເກດ​ phpMyAdmin ເປັນ​ເວີ​ຊັ່ນ​ 4.9.5 ແລະ 5.0.2 ຫຼື ​ໃໝ່​ກວ່າ​ນັ້ນ.

ເອກະສານອ້າງອີງ:

1. https://www.phpmyadmin.net/security/PMASA-2020-2/
2. https://www.phpmyadmin.net/security/PMASA-2020-3/
3. https://www.phpmyadmin.net/security/PMASA-2020-4/
4. https://www.facebook.com/187949347882491/posts/3154312027912860/