phpMyAdmin publie une mise à jour de logiciel après que des failles de sécurité aient été détectées

phpMyAdmin publie une mise à jour de logiciel après que des failles de sécurité aient été détectées


Vous êtes concernés si vous disposez d’un site web ou d’un site de vente en ligne et que le développeur de votre société utilise phpMyAdmin pour la gestion de ce dernier.
A noter que phpMyAdmin est généralement installé par défaut par la personne qui gère votre serveur.

Cela concerne donc presque tout le monde !

phpMyAdmin est l’un des systèmes de gestion de base de données MySQL les plus répandus et les plus utilisés. Les développeurs ont publié ce mardi une mise à jour 4.8.4 du logiciel en annonçant simultanément des failles de sécurité sur les versions précédentes permettant aux attaquants de prendre le contrôle des serveurs web affectés.

Ci-dessous, nous vous avons résumé les 3 principales failles de sécurité qui affectent les versions antérieures à la version 4.8.4 et qui ont été révélées par phpMyAdmin dans son dernier communiqué.

1. Inclusion de fichier local (CVE-2018-19968)

Les versions de phpMyAdmin d’au moins 4.0 à 4.8.3 incluent une faille par inclusion de fichier qui pourrait permettre à un attaquant distant de lire les contenus sensibles des fichiers locaux sur le serveur via son option de transformation.

2. Falsification de requête intersites (CSRF) / XSRF (CVE-2018-19969)

Les versions 4.7.0 à 4.7.6 et 4.8.0 à 4.8.3 de PhpMyAdmin incluent une faille CSRF / XSRF qui, si elle était exploitée, pourrait autoriser des attaquants à « exécuter des opérations SQL nuisibles telles que renommer des bases de données, créer de nouvelles tables / routines, supprimer des pages de concepteur, ajouter / supprimer des utilisateurs, mettre à jour des mots de passe d’utilisateurs, supprimer les processus SQL » en convainquant par du phishing, par exemple, les victimes d’ouvrir des liens spécialement conçus à cet effet.

3. XSS (CVE-2018-19970)

Le logiciel inclut également une vulnérabilité d’XSS dans son arborescence de navigation, qui affecte les versions d’au moins 4.0 à 4.8.3, à l’aide desquelles un attaquant peut injecter du code malveillant dans le tableau de bord via un nom de base de données spécialement conçu.

Pour résoudre toutes ces failles de sécurité, les développeurs de phpMyAdmin ont publié la dernière version 4.8.4, ainsi que des correctifs distincts pour certaines versions précédentes ce mardi 11 décembre.

Nous recommandons vivement aux administrateurs de sites Web et aux fournisseurs d’hébergement d’installer immédiatement les dernières mises à jour ou correctifs sous peine de voir son site web être détruit et/ou de devoir faire face à un vol de données.