CRITICAL🇬🇧 English

CVE-2024-9014

pgAdmin 4: Wyciek danych uwierzytelniających OAuth2 (client ID i secret)

CVSS 9.9v3.1pub. 2024-09-23upd. 2025-09-22

pgAdmin w wersji 8.11 i wcześniejszych zawiera lukę w implementacji uwierzytelniania OAuth2, która umożliwia atakującemu przechwycenie identyfikatora klienta (client ID) oraz sekretu klienta (client secret). Podatność jest oceniona jako krytyczna i może prowadzić do nieautoryzowanego dostępu do danych użytkowników.

Pokaż oryginał (EN)

pgAdmin versions 8.11 and earlier are vulnerable to a security flaw in OAuth2 authentication. This vulnerability allows an attacker to potentially obtain the client ID and secret, leading to unauthorized access to user data.

🤖 Analiza AI
Jak działa

Podatność sklasyfikowana jako CWE-522 (Insufficiently Protected Credentials) wskazuje, że dane uwierzytelniające OAuth2 — client ID oraz client secret — są przechowywane lub przesyłane w sposób niewystarczająco chroniony. Zalogowany atakujący z dostępem sieciowym może te dane pozyskać bez konieczności spełnienia dodatkowych warunków (niski poziom uprawnień, brak interakcji użytkownika). Pozyskanie client secret pozwala na podszycie się pod aplikację i przejęcie kontroli nad przepływem autoryzacji OAuth2.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do kont użytkowników oraz ich danych, a dzięki przejęciu client secret — również przejąć tożsamość aplikacji w ramach procesu uwierzytelniania OAuth2, co skutkuje pełnym naruszeniem poufności, integralności i dostępności środowiska.

Mitygacja

Należy zaktualizować pgAdmin 4 do wersji wyższej niż 8.11. Szczegóły dotyczące dostępnych patchy znajdują się w referencjach producenta: https://github.com/pgadmin-org/pgadmin4/issues/7945

Kogo dotyczy

pgAdmin 4 w wersjach 8.11 i wcześniejszych korzystających z uwierzytelniania OAuth2

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Pgadmin 4

    APP
    Pgadmin
    < 8.12
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-12048CRITICAL9.3ten sam produkt

Stored cross-site scripting in pgAdmin 4's error-rendering and plan-node-rendering paths. Text returned by a P...

CVE-2026-12046CRITICAL9.5ten sam produkt

Two state-mutating endpoints in pgAdmin 4's SQL Editor blueprint -- DELETE /sqleditor/close/<trans_id> and POS...

CVE-2026-12045CRITICAL9.4ten sam produkt

Read-only transaction bypass in the pgAdmin 4 AI Assistant allows an attacker who can influence database conte...

CVE-2026-7813CRITICAL9.4PL ✓ten sam produkt

pgAdmin 4: nieautoryzowany dostęp i privilege escalation w trybie serwerowym

CVE-2025-13780CRITICAL9.1PL ✓ten sam produkt

RCE w pgAdmin 4 poprzez złośliwe pliki dump w trybie serwerowym

CVE-2024-9014 — pgAdmin 4: Wyciek danych uwierzytelniających OAuth2 (client ID i secret) — CRITICAL 9.9 | CVEbaza.pl