phpMyAdmin ออกอัปเดตฉุกเฉิน อุดช่องโหว่รุนแรงระดับสูง ควรอัปเดตทันที

ทีมพัฒนา phpMyAdmin ได้ออกอัปเดตรุ่น 4.8.4 เพื่ออุดช่องโหว่ความรุนแรงระดับสูงหลายรายการที่เปิดให้ผู้โจมตีสามารถเข้ายึดครองเว็บไซต์ได้จากระยะไกล และแนะนำให้ผู้ใช้งานทำการอัปเดตทันทีก่อนที่จะถูกโจมตี

Credit: phpMyAdmin

สำหรับช่องโหว่ที่ถูกอุดในครั้งนี้หลักๆ มีด้วยกัน 3 รายการ ดังนี้

  • Local file inclusion (CVE-2018-19968) บน phpMyAdmin รุ่น 4.0 – 4.8.3 เปิดให้ผู้โจมตีสามารถเข้าถึงข้อมูลไฟล์ต่างๆ บน Server ได้จากระยะไกล
  • Cross-Site Request Forgery (CSRF)/XSRF (CVE-2018-19969) บน phpMyAdmin รุ่น 4.7.0 – 4.7.6 และ 4.8.0 – 4.8.3 ที่ทำให้ผู้โจมตีสามารถเรียกใช้ SQL Operation ได้หากเหยือทำการเปิดลิงค์ที่ถูกสร้างขึ้นมาเพื่อโจมตีโดยเฉพาะ
  • Cross-site scripting (XSS) (CVE-2018-19970) บน phpMyAdmin รุ่น 4.0 – 4.8.3 โดยผู้โจมตีสามารถทำการ Inject โค้ดที่ต้องการไปยังหน้า Dashboard ได้ผ่านชื่อ Database หรือ Table ที่ถูกตั้งขึ้นมาเพื่อใช้โจมตีโดยเฉพาะ

phpMyAdmin รุ่นล่าสุดสามารถโหลดได้ที่ https://www.phpmyadmin.net/downloads/

ที่มา: https://thehackernews.com/2018/12/phpmyadmin-security-update.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Tangerine Webinar: เจาะลึกเบื้องหลัง Smart City ด้วย Maps Intelligence

Tangerine ขอเรียนเชิญผู้บริหาร นักพัฒนา และ GIS Users เข้าร่วมงานสัมมนา Tangerine Webinar เรื่อง “เจาะลึกเบื้องหลัง Smart City ด้วย Maps …

TechTalk Webinar : Defense in Depth – Ransomware Ready with Commvault

VSTECS ร่วมกับ Computer Union และ Commvault ขอเชิญผู้สนใจในสายงาน IT ทุกท่านเข้าร่วมงานสัมมนาออนไลน์ในหัวข้อ "Defense in Depth - Ransomware Ready with Commvault" โดยท่านจะได้เรียนรู้เกี่ยวกับโซลูชันการป้องกันข้อมูลจากแรนซัมแวร์เพื่อทำให้ระบบขององค์กรเป็นไปตามแนวทาง Defense in Depth งานจะจัดขึ้นในวันจันทร์ที่ 6 มิถุนายน 2565 เวลา 14.00 - 15.30 น. มีกำหนดการลงทะเบียนดังนี้