PhpMyBackupPro 2.3'te Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açıkları
28 Mayıs 2024
Güvenlik araştırmacıları yakın zamanda PhpMyBackupPro sürüm 2.3'te birden fazla siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı keşfettiler. Bu güvenlik açıkları, saldırganların hedeflenen web sitelerinde kötü amaçlı komut dosyaları çalıştırmasına olanak tanıyarak kullanıcı verilerini ve oturum ayrıntılarını tehlikeye atabilir.
CVE-2024-5415, CVE-2024-5414 ve CVE-2024-5413 olarak tanımlanan güvenlik açıkları PhpMyBackupPro 2.3'ün aşağıdaki bileşenlerini etkiliyor:
CVE-2024-5415: Komut dosyasında, özellikle ve parametrelerinde bir XSS güvenlik açığı mevcut. Saldırganlar, kötü amaçlı bir URL oluşturup bunu kurbana göndererek bu kusurdan yararlanabilir ve böylece kurbanın oturum ayrıntılarını alabilirler./phpmybackuppro/backup.phpcommentsdb.
CVE-2024-5414: Komut dosyasında parametreyi etkileyen başka bir XSS güvenlik açığı mevcut . CVE-2024-5415'e benzer şekilde, saldırganlar kurbanın oturum ayrıntılarını almak için özel hazırlanmış bir URL oluşturabilir/phpmybackuppro/get_file.phpview.
CVE-2024-5413: Üçüncü güvenlik açığı , komut dosyasındaki tüm parametreleri etkileyen bir XSS kusurudur. Saldırganlar, kurbana kötü amaçlı bir URL göndererek bu güvenlik açığından yararlanabilir ve oturum ayrıntılarını açığa çıkarabilir./phpmybackuppro/scheduled.php.
Bu güvenlik açıklarına CVSS puanı 7,1 (10 üzerinden) verilmiştir ve CWE-79: Web Sayfası Oluşturma Sırasında Girişin Uygunsuz Nötrleştirilmesi ('Siteler Arası Komut Dosyası Çalıştırma') olarak sınıflandırılmıştır.. Şu an itibariyle satıcı tarafından herhangi bir resmi yama veya çözüm bildirilmedi.
Güvenlik profesyonellerinin ve PhpMyBackupPro 2.3 kullanıcılarının dikkatli olmaları ve bu güvenlik açıklarını gidermek için satıcı tarafından yayımlanan güncellemeleri veya yamaları izlemeleri tavsiye edilir. Bu arada, etkilenen komut dosyalarına ve parametrelere erişimin sınırlandırılması ve bu XSS kusurlarıyla ilişkili riskleri azaltmak için katı girdi doğrulama ve temizleme önlemlerinin uygulanması önerilir.