В популярном приложении phpMyAdmin нашли и устранили две уязвимости межсайтового скриптинга (XSS). С помощью выявленных брешей злоумышленники могли внедрить вредоносные скрипты и скомпрометировать аккаунт жертвы.
Проблемы отслеживаются под идентификаторами CVE-2025-24530 и CVE-2025-24529 и затрагивают функции «Check tables» и «Insert» соответственно.
«С помощью специально созданной таблицы или базы данных условный атакующий может провести XSS-атаку», — отмечает команда разработчиков phpMyAdmin.
Несмотря на то что уязвимости получили среднюю степень риска, пользователям настоятельно рекомендуется установить версию phpMyAdmin 5.2.2, в которой дыр уже нет.
Кроме того, в phpMyAdmin 5.2.2 разработчики также закрыли уязвимость в библиотеке glibc/iconv (CVE-2024-2961), приводящую к выполнению произвольного кода.
Помимо обновления до актуальной версии, специалисты рекомендуют использовать более безопасные настройки:
- отключить ненужную функциональность вроде $cfg[‘RecodingEngine’];
- установить патчи для glibc.