PhpMyAdmini versioonist 4.7.x (enne versiooni 4.7.7) leiti CSRF-i haavatavus saidiülese võltsimise kaudu, mille kaudu pahatahtlikud ründajad saavad teha põhilisi andmebaasitoiminguid, meelitades kasutajaid pahatahtlikult loodud URL-idele klõpsama. See haavatavus on ühendatud CVE identifitseerimismärgi CVE-2017-1000499 alla, mis määrati ka phpMyAdmini varasematele CSRF-i haavatavustele.
Selle all on neli viimast täiendust CVE-2017-1000499 CSRF-i haavatavuse katus. Need neli hõlmavad praegust kasutaja parooli muutmise haavatavust, suvalist failide kirjutamise haavatavust, andmete otsimist DNS-i sidekettide haavatavuse kohta ja tühjendavad kõik tabelite haavatavuse read. Kuna phpMyAdmin tegeleb MySQL-i halduspoolega, seavad need neli haavatavust kogu andmebaasi ohtu, mis võimaldab pahatahtlikul kasutajal koodi täitmise kaudu paroole vahetada, andmetele juurde pääseda, andmeid kustutada ja muid käske täita.
Kuna MySQL on üsna levinud avatud lähtekoodiga relatsioonide andmebaaside haldussüsteem, ohustavad need haavatavused (koos lugematute muude CVE-2017-100049 CSRF-i haavatavustega) tarkvara kasutuskogemust, mida paljud ettevõtted on hästi kasutanud, eriti selle hõlpsalt kasutatava ja tõhus liides.
CSRF-i rünnakud põhjustavad teadmatut kasutajat käsu täitmiseks, mille kavatseb pahatahtlik ründaja, klõpsates sellel jätkamiseks. Kasutajaid petetakse tavaliselt arvama, et konkreetne õigusi küsiv rakendus on lokaalselt turvalises kohas või et allalaaditav fail väidab pealkirjas b. Sedalaadi pahatahtlikult koostatud URL-id panevad kasutajad ründaja kavandatud käske täitma süsteemi teadmata.
See haavatavus on müüjale teada ja on ilmne, et seda kasutajat ei saa kasutaja omal soovil takistada, mistõttu vajab tarkvara phpMyAdmin värskendamist. See viga on 4.7.x versioonides, mis on varasemad kui 4.7.7, mis tähendab, et need, kes endiselt kasutavad vanemaid versioone, peaksid selle viivitamatult tegema täiendama selle kriitilise klassi haavatavuse leevendamiseks uusimale versioonile.
