pgAdmin 4 w wersjach do 9.9 zawiera podatność klasy RCE (Remote Code Execution), która pozwala atakującemu na wykonanie dowolnych poleceń na serwerze. Podatność jest aktywna wyłącznie w trybie serwerowym i podczas operacji przywracania bazy z plików dump w formacie PLAIN.
▸ Pokaż oryginał (EN)
pgAdmin versions up to 9.9 are affected by a Remote Code Execution (RCE) vulnerability that occurs when running in server mode and performing restores from PLAIN-format dump files. This issue allows attackers to inject and execute arbitrary commands on the server hosting pgAdmin, posing a critical risk to the integrity and security of the database management system and underlying data.
Podatność wynika z niewystarczającej walidacji danych wejściowych (CWE-94 — code injection) podczas przetwarzania plików dump w formacie PLAIN przez pgAdmin działającego w trybie serwerowym. Atakujący z dostępem do funkcji przywracania może spreparować złośliwy plik dump, który zawiera wstrzyknięte polecenia systemowe. Podczas wykonywania operacji restore pgAdmin przetwarza zawartość pliku w sposób umożliwiający wykonanie tych poleceń bezpośrednio na serwerze hostującym aplikację.
Atakujący może wykonać dowolne polecenia systemowe na serwerze, na którym działa pgAdmin, co zagraża integralności i poufności danych zarządzanych przez system bazodanowy oraz bezpieczeństwu całego środowiska serwerowego.
Należy zaktualizować pgAdmin 4 do wersji wyższej niż 9.9 zgodnie z informacjami dostępnymi u producenta w referencjach. Jako obejście — do czasu wdrożenia patcha — należy rozważyć ograniczenie dostępu do funkcji przywracania bazy lub unikanie trybu serwerowego. Nie należy przywracać baz danych z niezaufanych plików dump w formacie PLAIN.
pgAdmin 4 w wersjach do 9.9 włącznie, działający w trybie serwerowym (server mode).
Podatność dotyczy wyłącznie instalacji pgAdmin działających w trybie serwerowym (server mode); instalacje działające w trybie desktopowym nie są podatne. Zgłoszenie dostępne jest w repozytorium GitHub producenta (issue #9320).
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:LPgadmin 4
APPPgadmin< 9.10
Powiązane podatności
Two state-mutating endpoints in pgAdmin 4's SQL Editor blueprint -- DELETE /sqleditor/close/<trans_id> and POS...
Stored cross-site scripting in pgAdmin 4's error-rendering and plan-node-rendering paths. Text returned by a P...
Read-only transaction bypass in the pgAdmin 4 AI Assistant allows an attacker who can influence database conte...
pgAdmin 4: nieautoryzowany dostęp i privilege escalation w trybie serwerowym
RCE w pgAdmin 4 poprzez złośliwe pliki dump w trybie serwerowym