В phpMyAdmin версия 4.7.x (преди версия 4.7.7) е открита уязвимост за фалшифициране на искания за различни сайтове (CSRF), чрез която злонамерените атакуващи могат да извършват основни операции с базата данни, като подвеждат потребителите да кликват върху злонамерено създадени URL адреси. Тази уязвимост е комбинирана под идентификационния етикет на CVE CVE-2017-1000499, който е присвоен и на предишни уязвимости на CSRF в phpMyAdmin.
Има четири последни допълнения под CVE-2017-1000499 CSRF чадър за уязвимост. Тези четири включват уязвимост за текуща модификация на потребителска парола, произволна уязвимост при запис на файлове, извличане на данни през уязвимостта на DNS комуникационните вериги и празни всички редове от уязвимостта на всички таблици. Тъй като phpMyAdmin се занимава с административната страна на MySQL, тези четири уязвимости излагат цялата база данни на висок риск, позволявайки на злонамерен потребител да променя паролите, да осъществява достъп до данни, да изтрива данни и да изпълнява други команди чрез изпълнение на код.
Тъй като MySQL е доста често срещана система за управление на релационни бази данни с отворен код, тези уязвимости (заедно с безбройните други уязвимости на CVE-2017-100049 CSRF), компрометират опита на софтуера, който е добре приет от много предприятия, особено за лесен за използване и ефективен интерфейс.
CSRF атаките карат непознат потребител да изпълни команда, която злонамерен нападател възнамерява, като щракне върху нея, за да му позволи да продължи. Потребителите обикновено се подвеждат да мислят, че конкретно приложение, което иска разрешения, се съхранява локално на сигурно място или че изтегляният файл е това, което претендира за b в заглавието. Злонамерено създадени URL адреси от този вид карат потребителите да изпълняват предвидените от атакуващия команди, без да знаят, компрометирайки системата.
Тази уязвимост е известен на продавача и е очевидно, че потребителят не може да бъде предотвратен по собствено желание на потребителя, поради което изисква актуализация за освобождаване на софтуера phpMyAdmin. Този недостатък съществува във версии 4.7.x преди 4.7.7, което означава, че тези, които все още използват по-стари версии, трябва незабавно подобряване на до най-новата версия за смекчаване на тази уязвимост от критичен клас.
