Cette solution, destinée à faciliter la gestion des bases de données MySQL, a été récemment victime d'une faille de sécurité critique.
Exploitable à distance et ouvrant la voie à l'exécution d'instructions arbitraires, elle permettait des attaques de type CSRF (cross-site request forgery), pouvant entrainer un utilisateur légitimement authentifié à exécuter une action non souhaitée. Dans le cas présent, il suffisait qu'il clique sur un lien spécialement conçu. Une faille donc très simple à exploiter.
Découverte par le chercheur Ashutosh Barot, la vulnérabilité a été signalée à l'équipe de développement, qui a publié hier une nouvelle mouture 4.7.7 résolvant le souci. Les administrateurs sont évidemment enjoints à l'installer aussi rapidement que possible.
Commentaires (1)
#1
Sincèrement ils devraient réécrire leur app avec une approche plus moderne et plus propre.
Ils y gagneraient en maintenabilité, là ça fait l’impression d’un code legacy qu’on aurait essayé de le rendre propre par petites touches pendant des années, du coup on a un résultat avec le cul entre 2 chaises.
Ça limiterait ce genre de vulnérabilité sans doute.