数据库管理面板phpMyAdmin出现高危安全漏洞

非常流行的数据库管理面板phpMyAdmin 目前被发现高危安全漏洞允许攻击者删除数据表甚至整个数据库。

这个高危安全漏洞是印度的安全研究人员发现的,只需伪造特定地址诱导管理员打开即可操作整个控制面板。

在获取权限后攻击者即可在数据库管理员不知情的情况下,从数据库中删除某些数据表以及删除操作记录等。

开发组已经发布4.7.7版修复该漏洞:

目前面板开发团队已经发布v4.7.7 版封堵这个跨站请求伪造漏洞,原则上说所有用户都应该升级到最新版本。

目前这个漏洞已提交到CVE公共漏洞数据库但尚未分配编号,同时研究人员也发布了利用该漏洞的演示视频。

基于安全考虑如果短时间内无法升级到最新版本那么也应该提高安全意识、不要点击陌生人发来的不明地址。

该漏洞也可以导致数据库泄露:

对于广大的吃瓜群众来说这肯定不是个好消息,因为肯定会有些猪队友(网站)没有及时修复漏洞而被拖库。

被拖库后说到底受到损伤的还是这些猪队友的用户们,但遗憾的是好像也并没有什么更好办法能够解决问题。

例如去年美国征信公司易速传真的大规模数据泄露事件就是没有及时修复 Apache 服务器中的组件漏洞导致。

建议用户最好在平时使用密码管理工具然后为不同的网站生成不同的高强度密码,避免因被拖库后再被撞库。

本文来自企鹅号 - 蓝点网媒体

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏阮一峰的网络日志

如何让搜索引擎抓取AJAX内容?

越来越多的网站,开始采用"单页面结构"(Single-page application)。 整个网站只有一张网页,采用Ajax技术,根据用户的输入,加载不同的内...

2783
来自专栏点滴积累

微信小程序项目踩过的几个坑

一、前言 近期,开始了一段辛酸的还未开始就已经结束的“创业”(参见我的第二次创业,以梦为马,莫负韶华)。大体上是开发了一款微信小程序,关于创业这件事情就不细说了...

4465
来自专栏ml

本本如何快速设置无线路由....,让其他人使用...

1、使用管理员身份运行CMD 2、使用命令netsh wlan set hostednetwork mode=allow ssid=建立的无线网名称最好是英文 ...

2535
来自专栏刺客博客

魅蓝Note3降级教程

3K6
来自专栏张戈的专栏

重置多说配置后的问题,这是不让我从良的节奏啊(附禁用谷歌在线字体的方法)!

本想今天发文从良,金盆洗手,从此不再折腾博客,安心写文章的。结果,发现多说又不能同步服务器评论到本地了!特么真是怕什么来什么啊!想来这金盆暂时用不着了。。。 想...

3885
来自专栏FreeBuf

iOS“远程越狱”间谍软件Pegasus技术分析

上周苹果紧急发布了iOS 9.3.5,修复了三个0day漏洞,这3个漏洞能让攻击者对全球范围内的iPhone进行监听。 ? 这三个漏洞被爆出的起因是因为以为阿联...

7168
来自专栏信安之路

Red Team 工具集之网络钓鱼和水坑攻击

上图是一个 Red Team 攻击的生命周期,整个生命周期包括:信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上...

1030
来自专栏FreeBuf

一大波iCloud钓鱼网站来袭 果粉们会分辨吗?

国外的FireEye实验室有一套自动化系统,这套系统能够主动侦测最新注册的恶意域名。所谓的恶意域名,绝大部分都是伪装成很多人知道的常用域名,以此来达到“恶意”的...

2815
来自专栏信安之路

打造属于自己的渗透神器 第二篇

今天我又给大家带来了新的一篇打造一个属于自己的渗透神器,之前在浏览视频的时候看到一部视频就是讲这个的今天我们就一起试一下。

1150
来自专栏阮一峰的网络日志

DDOS 攻击的防范教程

4033

扫码关注云+社区