MySQL veritabanlarını yönetmek için yaygın olarak kullanılan bir açık kaynaklı araç olan PhpMyAdmin’de orta derecede bir bölgeler arası komut dosyası (XSS) güvenlik açığı tanımlanmıştır.
CVE-2025-24530 olarak izlenen bu kusur, 5.2.2’den önce 5.x sürümlerini etkiler ve “Tabloları Kontrol Et” özelliğine bağlanır.
Güvenlik açığı, saldırganların bir kurbanın tarayıcısı bağlamında kötü amaçlı JavaScript yürütmek için yanlış sterilize edilmiş tablo veya veritabanı adlarını kullanmalarını sağlar.
phpmyadmin güvenlik açığı
Güvenlik açığı, PhpmyAdmin’in “Tablolarını Kontrol Edin” işlevinde yetersiz giriş doğrulamasından kaynaklanmaktadır.
Kötü amaçlı bir tablo veya veritabanı adı hazırlayarak, bir saldırgan, bir kullanıcı etkilenen özellik ile etkileşime girdiğinde yürütülen JavaScript kodunu enjekte edebilir.
Bu XSS saldırısı, veritabanının bütünlüğünü ve gizliliğini tehlikeye atarak yetkisiz eylemlere, oturum kaçırma veya veri hırsızlığına yol açabilir.
Sorun, web sayfası oluşturma sırasında girdinin yanlış nötralizasyonu ile ilgilidir. Kusur, veri güvenliği ve kullanıcı hesapları üzerindeki potansiyel etkisi nedeniyle orta derecede şiddetli olarak derecelendirilmiştir.
Sökülme bir miktar kullanıcı etkileşimi gerektirse de (örneğin, “Tabloları Kontrol Edin” özelliğine erişmek), saldırı uzaktan yürütülebilir. Bu, halka açık PHPMyAdmin kurulumları için özellikle tehlikeli hale getirir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
PhpmyAdmin ekibi, bu güvenlik açığını bildirmek için “Bluebird” i kredilendirdi ve yamayı uygulama konusunda ayrıntılı rehberlik sağlamıştır.
Bu güvenlik açığı, 5.2.2’den önceki 5.x serisindeki tüm PhpmyAdmin sürümlerini etkiler. Bu sürümleri çalıştıran kullanıcıların derhal güncelleme yapmaları şiddetle tavsiye edilir.
Azaltma ve çözüm
Bu sorunu ele almak için kullanıcılar PHPMyAdmin sürüm 5.2.2 veya üstüne yükseltilmelidir. Güncellenmiş sürüm, “Tabloları Kontrol Et” özelliğindeki giriş dezenfekte sorununu çözen bir yama içerir.
Hemen güncelleyemeyen kullanıcılar için, IP beyaz listesi veya PhpmyAdmin’e erişimi kısıtlamak gibi ek güvenlik önlemleri uygulamak maruziyeti azaltabilir.
Yöneticiler, kurulumlarını yükselterek veya gerekli yamaları uygulayarak sistemlerini bu güvenlik açığına karşı güvence altına almaları istenir.
Dikkatli olun ve bu güvenlik açıklarıyla ilişkili riskleri azaltmak için yazılımınızın güncel kaldığından emin olun.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek