CVE-2025-60799

Опубликовано: 20 нояб. 2025

Источник: nvd

CVSS3: 6.1

EPSS Низкий

Описание

phpPgAdmin 7.13.0 and earlier contains an incorrect access control vulnerability in sql.php at lines 68-76. The application allows unauthorized manipulation of session variables by accepting user-controlled parameters ('subject', 'server', 'database', 'queryid') without proper validation or access control checks. Attackers can exploit this to store arbitrary SQL queries in $_SESSION['sqlquery'] by manipulating these parameters, potentially leading to session poisoning, stored cross-site scripting, or unauthorized access to sensitive session data.

Ссылки

https://github.com/phppgadmin/phppgadmin/blob/master/sql.php#L68-L76
Product
https://github.com/pr0wl1ng/security-advisories/blob/main/CVE-2025-60799.md
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:phppgadmin_project:phppgadmin:*:*:*:*:*:*:*:*

Версия до 7.13.0 (включая)

EPSS

Процентиль: 2%

0.00014

Низкий

6.1 Medium

CVSS3

Дефекты

CWE-284

Связанные уязвимости

CVE-2025-60799

CVSS3: 6.1

ubuntu

3 месяца назад

CVE-2025-60799

CVSS3: 6.1

debian

3 месяца назад

phpPgAdmin 7.13.0 and earlier contains an incorrect access control vul ...

GHSA-r63p-v37q-g74c

CVSS3: 6.1

github

3 месяца назад

phppgadmin contains an incorrect access control vulnerability

BDU:2025-14893

CVSS3: 6.1

fstec

3 месяца назад

Уязвимость сценария sql.php веб-инструмента администрирования СУБД PostgreSQL phpPgAdmin, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации и проводить межсайтовые сценарные атаки

EPSS

Процентиль: 2%

0.00014

Низкий

6.1 Medium

CVSS3

Дефекты

CWE-284