ISGroup Conseil en Cybersécurité

CVE-2021-21311 : SSRF dans Adminer

La CVE-2021-21311 concerne Adminer, un outil léger de gestion de base de données largement distribué sous la forme d’un fichier PHP unique (adminer.php). La vulnérabilité affecte les versions 4.0.0 à 4.7.8 qui incluent tous les pilotes de base de données par défaut. Le défaut réside dans la manière dont Adminer gère les réponses de certains pilotes de base de données (notamment Elasticsearch et ClickHouse), ce qui peut exposer des réponses HTTP brutes dans les messages d’erreur. Le problème a été corrigé dans Adminer 4.7.9. Adminer est souvent exposé directement sur Internet par les administrateurs pour des raisons de commodité, ce qui augmente considérablement le risque d’exploitation. Il a été ajouté au catalogue des vulnérabilités exploitées connues de la CISA le 29 septembre 2025.

ProduitAdminer
Date06/10/2025 17:18:19
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

Il s’agit d’une vulnérabilité de type Server-Side Request Forgery (SSRF) avec un score CVSS v3 de base de 7,2 (Élevé). La vulnérabilité permet à un attaquant distant non authentifié de forcer Adminer à effectuer des requêtes HTTP arbitraires pour le compte du serveur sur lequel il est exécuté. L’exploitation peut conduire à : L’accès à des services et API disponibles uniquement en interne, L’exfiltration de données sensibles (ex. services de métadonnées cloud sur 169.254.169.254), Le scan de ports et le mouvement latéral au sein des réseaux internes.

Des exploits et preuves de concept (PoC) sont disponibles publiquement. Les organisations qui exposent des points de terminaison adminer.php sans restriction sont particulièrement exposées.

Recommandations

  1. Appliquer immédiatement le correctif : mettre à jour Adminer vers la version 4.7.9 ou ultérieure pour corriger la vulnérabilité.
  2. Limiter l’accès : restreindre l’accès à Adminer (adminer.php) en utilisant des listes d’adresses IP autorisées, un VPN ou des contrôles d’authentification.
  3. Déployer des builds minimaux : utiliser des versions réduites d’Adminer ne contenant que les pilotes de base de données nécessaires, en évitant le fichier adminer.php complet.
  4. Contrôles réseau : bloquer les connexions sortantes des hôtes Adminer vers des plages IP sensibles (ex. services de métadonnées cloud).
  5. Surveillance : mettre en œuvre une journalisation et une surveillance avancées pour détecter les requêtes HTTP suspectes provenant d’Adminer ou les erreurs contenant des réponses HTTP brutes.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *