Der er fundet en sårbarhed over CSRF (Cross-Site Request Forgery) i phpMyAdmin version 4.7.x (før version 4.7.7), hvorigennem ondsindede angribere er i stand til at udføre grundlæggende databasehandlinger ved at narre brugere til at klikke på ondsindet udformede URL'er. Denne sårbarhed er blevet kombineret under CVE-identifikationsmærket CVE-2017-1000499, som også blev tildelt tidligere CSRF-sårbarheder i phpMyAdmin.
Der er fire seneste tilføjelser under CVE-2017-1000499 Paraply om CSRF-sårbarhed. Disse fire inkluderer en nuværende sårbarhed med ændring af brugeradgangskode, en vilkårlig sårbarhed med filskrivning, en datahentning over sårbarheden for DNS-kommunikationskæder og en tom alle rækker fra alle tabels sårbarhed. Da phpMyAdmin beskæftiger sig med administrationen af MySQL, sætter disse fire sårbarheder hele databasen i høj risiko, så en ondsindet bruger kan ændre adgangskoder, få adgang til data, slette data og udføre andre kommandoer gennem kodeudførelse.
Da MySQL er et ret almindeligt open source-relationsdatabasehåndteringssystem, kompromitterer disse sårbarheder (sammen med de utallige andre CVE-2017-100049 CSRF-sårbarheder) oplevelsen af softwaren, som er blevet godt anvendt af mange virksomheder, især fordi den er nem at bruge og effektiv grænseflade.
CSRF-angreb får en uvidende bruger til at udføre en kommando, som en ondsindet angriber har til hensigt ved at klikke på den for at lade den fortsætte. Brugere bliver normalt narret til at tro, at en bestemt applikation, der beder om tilladelser, er gemt lokalt et sikkert sted, eller at en fil, der downloades, er, hvad den hævder at b i titlen. Ondsindet udformede webadresser af denne art får brugerne til at udføre angriberens tilsigtede kommandoer, der ubevidst kompromitterer systemet.
Denne sårbarhed er kendt af sælgeren og det er tydeligt, at brugeren ikke kan forhindres af brugerens eget samtykke, hvorfor det kræver en opdatering, før phpMyAdmin-softwaren frigives. Denne fejl findes i 4.7.x-versioner før 4.7.7, hvilket betyder, at de, der stadig bruger ældre versioner, skal straks opgradere til den nyeste version for at afbøde denne kritiske karakter sårbarhed.
