Oh no! Where's the JavaScript?
Your Web browser does not have JavaScript enabled or does not support JavaScript. Please enable JavaScript on your Web browser to properly view this Web site, or upgrade to a Web browser that does support JavaScript.

ລາວເຊີດລາວເຊີດລາວເຊີດ

ແຈ້ງເຕືອນ

ພົບຊ່ອງໂຫວ່ SQL injection ມີຜົນກະທົບກັບ phpMyAdmin ກ່ອນເວີຊັ່ນ 4.9.5 ແລະ 5.0.2

ພົບຊ່ອງໂຫວ່ SQL injection ມີຜົນກະທົບກັບ phpMyAdmin ກ່ອນເວີຊັ່ນ 4.9.5 ແລະ 5.0.2
ພົບ​ຊ່ອງ​ໂຫວ່​ SQL injection ເທິງ​ phpMyAdmin ຊ່ອງ​ໂຫວ່​ “CVE-2020-10802”, “CVE-2020-10803”, “CVE-2020-10804” ລາຍ​ງານ​ໂດຍ​ຜູ້​ໃຊ້​ບັນຊີ​ທະວິດ​ເຕີ​ (Twitter)​ ຊື່​ hoangn144_VCS, bluebird, Yutaka WATANABE ໃນວັນທີ​ 20 ມີ​ນາ 2020 ທີ່​ຜ່ານມາ​.

CVE-2020-10802 (CVSS 8.0): ເປັນ​ຊ່ອງ​ໂຫວ່​ SQL injection ທີ່​ເກີດ​ຈາກ​​ຂໍ້​ຜິດ​ພາດ​ໃນ​ການສ້າງ​ພາ​ຣາ​ມິ​ເຕີ​ (Parameter) ​ໃນ​ຂັ້ນ​ຕອນ​ຂອງການ​ຄົ້ນ​ຫາ​ພາຍ​ໃນ​ phpMyAdmin,  ການ​ໂຈມ​ຕີ​ຈະ​ເກີດ​ເມື່ອ​ຜູ້​ໃຊ້​ງານ​ດຳ​ເນີນ​ການ​ຄົ້ນ​ຫາ​ດ້ວຍ​ການ​ໃສ່​ຕົວອັກສອນ​ພິເສດ​ລົງ​ໄປ​ເທິງ​ຖານ​ຂໍ້​ມູນ​ ຫຼື ຕາ​ຕະ​ລາງ ​ທີ່​ຜູ້​ໂຈມ​ຕີ​ສ້າງ​ຂຶ້ນ​ມາ​ ເພື່ອ​ໃຊ້​ໃນ​ການ​ໂຈມ​ຕີ​.

CVE-2020-10803 (CVSS 5.4): ເປັນ​ຊ່ອງ​ໂຫວ່​ SQL injection ທີ່​ເກີດ​ຈາກການ​ເອີ້ນ​ໃຊ້​ໂຄດ (Code) ​ເພື່ອຈະ​ດຳ​ເນີນ​ການ​ແຊກ​ຂໍ້​ມູນ​ທີ່​ສ້າງ​ຂຶ້ນ​ໃນ​ຖານ​ຂໍ້​ມູນ​ ເມື່ອ​ຜູ້​ໃຊ້​ດຶງ​ ຫຼື ເອີ້ນ​ເບິ່ງ​ຖານ​ຂໍ້​ມູນ​ ຈະ​ສາມາດ​​ໂຈມ​ຕີ​ໃນ​ຮູບ​ແບບ​ XSS (Cross-site scripting) ໄດ້​ ໃນ​ການ​ສະເ​ເດ​ງ​ຜົນ​.

CVE-2020-10804 (CVSS 8.0): ເປັນ​ຊ່ອງ​ໂຫວ່​ SQL injection ທີ່ດຶງ​ຂໍ້​ມູນ​ username ທີ່​ມີ​ຢູ່​ ແລະ ​ສ້າງ​ username ເພື່ອ​ຫຼອກລວງ​ໃຫ້​ຜູ້​ເບິ່ງ​ແຍງ​ລະບົບ​ດຳ​ເນີນ​ການ​ບາງຢ່າງ​ ເຊັ່ນ: ​ການແກ້​ໄຂ​ສິດທິ​ຜູ້​ໃຊ້​ງານ​, ຊ່ອງ​ໂຫວ່​ນີ້​ຍັງ​ເຮັດໃຫ້​ເກີດ​ຂໍ້​ຜິດ​ພາດ​ໃນ​ການ​ປ່ຽນ​ລະຫັດຜ່ານ​ MySQL ຂອງ​ຜູ້​ໃຊ້​ງານໄດ້.

ຜົນກະທົບ

phpMyAdmin ເວີ​​ຊັ່ນ​ 4.9.x ກ່ອນ​ 4.9.5 ແລະ​ ເວີ​ຊັ່ນ​ 5.0.x ກ່ອນ​ 5.0.2 ໄດ້ຮັບ​ຜົນກະ​ທົບ.​

ຂໍ້ແນະນໍາໃນກນປ້ອງກັນ ແລະ ແກ້ໄຂ

ອັບ​ເກດ​ phpMyAdmin ເປັນ​ເວີ​ຊັ່ນ​ 4.9.5 ແລະ 5.0.2 ຫຼື ​ໃໝ່​ກວ່າ​ນັ້ນ.

 

ເອກະສານອ້າງອີງ:

  1. https://www.phpmyadmin.net/security/PMASA-2020-2/
  2. https://www.phpmyadmin.net/security/PMASA-2020-3/
  3. https://www.phpmyadmin.net/security/PMASA-2020-4/
  4. https://www.facebook.com/187949347882491/posts/3154312027912860/
Porher 30 March 2020 2,934 Print

ພາສາ (Language)

ຕິດຕາມ ລາວເຊີດ

  

ຄົ້ນຫາ