Originally published at: https://korben.info/cest-moment-de-mettre-a-jour-de-desinstaller-phpmyadmin.html
Avis aux utilisateurs de PhpMyAdmin… Le chercheur en sécurité Ashutosh Barot a découvert dans les versions < 4.7.7 du célèbre outil de gestion de base MySQL / MariaDB, une faille de type CSRF qui permettrait à un attaquant, via un simple clic sur une URL forgée envoyée à un utilisateur admin, de supprimer des enregistrements, voire…
Salut, si je comprend bien pour appliquer cette faille il faut déjà avoir eu accès a phpmyadmin?
Bon j’ai vérifier j’ai une version récente, donc je suis safe^^ Je vais jeter un oeil à adminer quand même.
Mouais, ne fonctionne que si on a accès à PhpMyAdmin et ce, qu’importe la version.
C’est le principe des CSRF oui… Mais ça veut dire que si tu es admin d’un PhpMyAdmin et que tu as encore un cookie que session pour ton compte, tu peux te faire attaquer à partir de n’importe quel site.
Je trouve que l’article dénigre un peu vite le bon vieux phpmyadmin des familles 
Si on lit le rapport de sécurité (en lien dans l’article) : https://www.phpmyadmin.net/security/PMASA-2017-9/
Il y est marqué que cette faille atteint les versions comprises entre 4.7.0 (inclue) et 4.7.7 (non inclue).