phpMyAdmin Patches XSS Vulnerabilities in Latest Release
2025/01/23 SecurityOnline — MySQL/MariaDB データベース管理で人気を博す、Web ベースツールである phpMyAdmin は、最新リリースであるバージョン 5.2.2 で、2件クロス・サイト・スクリプティング (XSS) の脆弱性に対処した。“Check tables” の脆弱性 CVE-2025-24530 および “Insert” 機能の脆弱性 CVE-2025-24529 を悪用する攻撃者は、アプリケーションに対する悪意のスクリプト挿入を達成し、ユーザー・アカウントや機密情報などのデータに、不正アクセスする可能性を手にする。
phpMyAdmin チームはセキュリティ・アドバイザリで、「特別に細工されたテーブル名またはデータベース名が、XSS 攻撃のトリガーとして悪用される可能性がある」と説明している。
これらの脆弱性の深刻度は Medium と考えられているが、ユーザーに対して強く推奨されるのは、可能な限り早急に、phpMyAdmin 5.2.2 以降へと更新することだ。この更新に取り込まれているのは、一連の XSS 脆弱性を効果的に軽減するパッチである。この XSS の脆弱性に対する修正に加えて、phpMyAdmin 5.2.2 では、”glibc/iconv” ライブラリに関連する潜在的な欠陥も修正されている。この脆弱性 CVE-2024-2961 脆弱性は、特定の状況下において、任意のコード実行に悪用される可能性がある。ただし、デフォルトの phpMyAdmin は脆弱ではないと、同チームは明言している。
これらの問題に対処するために、phpMyAdmin が推奨するのは、以下の項目である:
- 前提:”glibc” のセキュリティ更新がインストールされていることを確認する。
- バージョン 5.2.2 へのアップグレード:最新リリースでは、すべての特定された脆弱性が解決されている。
- パッチの適用 [1, 2, 3]:ただちにアップグレードできない場合には、コミットで提供されているパッチを適用する。
- セキュリティ・コンフィグの強化:$cfg[‘RecodingEngine’] などの不要な機能に関して、それらを使用していない場合は無効化する。
phpMyAdmin のユーザー・ベースは大きそうですね。ご利用のチームは、可能な限り早急にアップデートしてください。よろしければ、phpMyAdmin で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.