数据库管理面板phpMyAdmin出现高危安全漏洞

非常流行的数据库管理面板phpMyAdmin 目前被发现高危安全漏洞允许攻击者删除数据表甚至整个数据库。

这个高危安全漏洞是印度的安全研究人员发现的,只需伪造特定地址诱导管理员打开即可操作整个控制面板。

在获取权限后攻击者即可在数据库管理员不知情的情况下,从数据库中删除某些数据表以及删除操作记录等。

开发组已经发布4.7.7版修复该漏洞:

目前面板开发团队已经发布v4.7.7 版封堵这个跨站请求伪造漏洞,原则上说所有用户都应该升级到最新版本。

目前这个漏洞已提交到CVE公共漏洞数据库但尚未分配编号,同时研究人员也发布了利用该漏洞的演示视频。

基于安全考虑如果短时间内无法升级到最新版本那么也应该提高安全意识、不要点击陌生人发来的不明地址。

该漏洞也可以导致数据库泄露:

对于广大的吃瓜群众来说这肯定不是个好消息,因为肯定会有些猪队友(网站)没有及时修复漏洞而被拖库。

被拖库后说到底受到损伤的还是这些猪队友的用户们,但遗憾的是好像也并没有什么更好办法能够解决问题。

例如去年美国征信公司易速传真的大规模数据泄露事件就是没有及时修复 Apache 服务器中的组件漏洞导致。

建议用户最好在平时使用密码管理工具然后为不同的网站生成不同的高强度密码,避免因被拖库后再被撞库。

本文来自企鹅号 - 蓝点网媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏黑白安全

小心!黑客可利用Windows远程协助漏洞窃取你的敏感文件

一个基本的网络安全建议和常识就是你不要与不信任的人分享你的计算机远程访问权限。但是,不仅限于此,攻击者的套路往往是很深的,如果你认为我们只要不与不信任的人分享计...

973
来自专栏FreeBuf

维基解密披露CIA恶意软件框架中的新工具:AfterMidnight与Assassin

当整个世界都在忙于应对 WannaCry恶意软件之时,维基解密发布了CIA Vault 7工具包中新的一批文件,详细披露了针对Winodws平台上的两个恶意软件...

2176
来自专栏FreeBuf

挖洞经验 | 如何参加众测项目发现美国国防部网站各类高危漏洞

美国国防部(DoD)于2016年11月21日首次与HackerOne合作,开展了“Hack the Pentagon”的漏洞众测项目,这将允许安全研究人员通过背...

2116
来自专栏FreeBuf

“白象”APT组织近期动态

“白象”又名“Patchwork”,“摩诃草”,疑似来自南亚某国,自2012年以来持续针对中国、巴基斯坦等国进行网络攻击,长期窃取目标国家的科研、军事资料。与其...

1264
来自专栏数据库新发现

IE又现高危漏洞 系统打全部补丁仍然无济于事

  北京时间11月4日,美国计算机应急响应小组(US-CERT)发布安全警告,在IE浏览器中存在一个严重的安全漏洞,入侵者可以利用HTML电子邮件信息或恶意网页...

675
来自专栏FreeBuf

某些浏览器中因cookie设置HttpOnly标志引起的安全问题

作者 Taskiller 1、简介 如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnl...

2017
来自专栏FreeBuf

你说安全就安全?对红芯浏览器的一次安全测试

近日,红芯浏览器“套壳”一事被网络舆论炒的沸沸扬扬。红芯浏览器被官方标榜为“安全、稳定、可控的企业浏览器”,其中“自主可控”一项已经被舆论所质疑,但是被官方放在...

542
来自专栏FreeBuf

黑客正在利用Firefox的0day漏洞攻击Tor用户(含Exploit)

根据最新的消息,安全研究专家发现了一个0day漏洞,攻击者或可利用该漏洞在Tor和Firefox浏览器用户的计算机中执行恶意代码。 ? 就在几天前,Tor官网上...

1836
来自专栏FreeBuf

看我如何发现Facebook的ImageMagick漏洞并获4万美元赏金

相信大多数人都对ImageMagick RCE漏洞有所知晓,该漏洞于去年4月底被发现,由于其软件本身被很多知名网站使用,且存在很多流行拓展插件,漏洞最终造成了很...

2028
来自专栏农夫安全

摸金某系统通用上传漏洞

前言 该教务管理系统是一个面向学院各部门以及各层次用户的多模块综合信息管理系,能够满足从学生入学到毕业全过程及教务管理各个环节的管理需要。 ? ? 漏洞介绍 该...

3139

扫码关注云+社区