phppgadmin vulnerable to Cross-site Scripting · CVE-2025-60796 · GitHub Advisory Database
漏洞详情
包: composer / phppgadmin/phppgadmin (Composer) 受影响版本: <= 7.13.0 已修复版本: 无
描述
phpPgAdmin 7.13.0 及更早版本包含多个跨站脚本(XSS)漏洞,涉及多个组件。来自 $_REQUEST 参数的用户输入在多个位置(包括 sequences.php、indexes.php、admin.php 和其他未指定的文件)的 HTML 输出中被反射,而没有经过适当的编码或净化。攻击者可以利用这些漏洞在受害者的浏览器中执行任意 JavaScript,可能导致会话劫持、凭据窃取或其他恶意操作。
参考链接
- https://nvd.nist.gov/vuln/detail/CVE-2025-60796
- https://github.com/phppgadmin/phppgadmin/blob/master/admin.php#L35
- https://github.com/phppgadmin/phppgadmin/blob/master/indexes.php#L29
- https://github.com/phppgadmin/phppgadmin/blob/master/sequences.php#L316
- https://github.com/pr0wl1ng/security-advisories/blob/main/CVE-2025-60796.md
严重性等级
低 CVSS 总体评分:2.1 / 10
CVSS v4 基础指标
可利用性指标
- 攻击向量:网络
- 攻击复杂度:低
- 攻击要求:无
- 所需权限:无
- 用户交互:被动
易受攻击系统影响指标
- 机密性:无
- 完整性:无
- 可用性:无
后续系统影响指标
- 机密性:低
- 完整性:低
- 可用性:无
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N/E:P
EPSS 分数
0.031% (第8百分位)
弱点
弱点: CWE-79 名称: 在网页生成过程中未正确中和输入(跨站脚本) 描述: 产品在将用户可控的输入放置到提供给其他用户的网页输出中之前,未进行中和或未正确中和。 可在 MITRE 上了解更多信息。
标识符
- CVE ID: CVE-2025-60796
- GHSA ID: GHSA-h369-cpjj-qfff
源代码
phppgadmin/phppgadmin