اخیرا یک آسیب پذیری XSS در phpmyadmin، ابزار منبع باز برای مدیریت دیتابیسهای MySQL شناسایی شده است. این آسیب پذیری که با شناسه CVE-2025-24530 دنبال میشود، به مهاجمان اجازه میدهد تا از طریق ویژگی “ Check tables“، حملات XSS را آغاز کنند.
CVE-2025-24530 بر نسخههای سری 5.x تا پیش از 5.2.2 ابزار phpmyadmin تأثیر میگذارد و ناشی از اعتبارسنجی نامناسب ورودی به هنگام ایجاد صفحات وب در phpMyAdmin است و باعث میشود تزریق کد جاوا اسکریپت مخرب از طریق جدول ویژه یا نام پایگاه داده انجام شود. به عبارت سادهتر، این آسیب پذیریXSS ، زمانی به وجود میآید که phpMyAdmin نتواند ورودی کاربر را در ویژگی ” Check tables” بهاندازه کافی پاکسازی (sanitize) کند.
آسیب پذیری CVE-2025-24530، مهاجمان را قادر میسازد تا کد جاوا اسکریپت مخرب خود را به پایگاه داده یا نام جدول تزریق کنند. هنگامی که یک کاربر با ویژگی ” Check tables” آسیب پذیر ارتباط برقرار میکند، اسکریپت مخرب در مرورگر قربانی اجرا میشود. چنین حملهای میتواند منجر به ربودن نشست، اقدامات غیرمجاز یا سرقت دادهها شود و خطرات قابل توجهی برای یکپارچگی، محرمانگی و امنیت بانک اطلاعاتی ایجاد کند.
این مسئله ناشی از خنثی سازی نامناسب ورودی در طول تولید صفحه وب میباشد. این نقص به دلیل تأثیر بالقوه آن بر امنیت دادهها و حسابهای کاربری، نسبتاً شدید ارزیابی شده است. در حالی که اکسپلویت آسیب پذیری CVE-2025-24530 به سطحی از تعامل با کاربر نیاز دارد (به عنوان مثال، دسترسی به ویژگی “Check tables”)، اما این حمله میتواند از راه دور اجرا شود.
اقدامات امنیتی
- بهروزرسانی فوری phpMyAdmin: پچ این آسیب پذیری در نسخه 5.2.2 ابزار Phpmyadmin ارائه شده است و توصیه میشود هرچه سریعتر دریافت و نصب گردد.
- محدود کردن دسترسی به phpMyAdmin: برای کاربرانی که فعلا قادر به دریافت پچ آسیب پذیری نیستند، توصیه میشود دسترسی به پنل مدیریت phpmyadmin را محدود به IP های خاص کنند.
CVE-2025-24530 نشان دهنده یک تهدید جدی برای کاربران phpMyAdmin است که به مهاجمان اجازه میدهد با استفاده از جداول مخرب به سیستم نفوذ کنند. اِعمال بهترین شیوههای امنیتی و بهروزرسانی نرمافزار میتواند به کاهش خطرات این آسیب پذیری کمک کند.