Adminer

Die Schwachstelle betrifft Adminer, ein Open-Source-Werkzeug zur Datenbankverwaltung, das als einzelne PHP-Datei ausgeliefert wird. Betroffen sind jene Ausgaben, die sämtliche Datenbanktreiber gebündelt enthalten. Es handelt sich um eine Server-Side Request Forgery (SSRF): Ein Angreifer kann das Programm dazu bringen, Netzwerkanfragen an Ziele seiner Wahl zu senden – also Verbindungen aufzubauen, die scheinbar vom Adminer-Server selbst ausgehen. Auf diesem Weg lässt sich die Anwendung als Vermittler missbrauchen, um eigentlich abgeschottete interne Systeme zu erreichen oder Antworten dieser Dienste auszuwerten. Der Angriff erfolgt aus der Ferne, und der Angreifer kann dadurch an möglicherweise vertrauliche Informationen gelangen. Da Adminer häufig direkt über das Web erreichbar ist und zur Verwaltung sensibler Datenbanken dient, ist eine exponierte Installation ein attraktiver Ausgangspunkt, um in das dahinterliegende Netzwerk hineinzugreifen.