CRITICAL🇬🇧 English

CVE-2025-12762

RCE w pgAdmin 4 — wstrzykiwanie komend podczas przywracania bazy

CVSS 9.1v3.1pub. 2025-11-13upd. 2025-12-01

pgAdmin 4 w wersjach do 9.9 zawiera podatność klasy RCE (Remote Code Execution), która pozwala atakującemu na wykonanie dowolnych poleceń na serwerze. Podatność jest aktywna wyłącznie w trybie serwerowym i podczas operacji przywracania bazy z plików dump w formacie PLAIN.

Pokaż oryginał (EN)

pgAdmin versions up to 9.9 are affected by a Remote Code Execution (RCE) vulnerability that occurs when running in server mode and performing restores from PLAIN-format dump files. This issue allows attackers to inject and execute arbitrary commands on the server hosting pgAdmin, posing a critical risk to the integrity and security of the database management system and underlying data.

🤖 Analiza AI
Jak działa

Podatność wynika z niewystarczającej walidacji danych wejściowych (CWE-94 — code injection) podczas przetwarzania plików dump w formacie PLAIN przez pgAdmin działającego w trybie serwerowym. Atakujący z dostępem do funkcji przywracania może spreparować złośliwy plik dump, który zawiera wstrzyknięte polecenia systemowe. Podczas wykonywania operacji restore pgAdmin przetwarza zawartość pliku w sposób umożliwiający wykonanie tych poleceń bezpośrednio na serwerze hostującym aplikację.

Skutki

Atakujący może wykonać dowolne polecenia systemowe na serwerze, na którym działa pgAdmin, co zagraża integralności i poufności danych zarządzanych przez system bazodanowy oraz bezpieczeństwu całego środowiska serwerowego.

Mitygacja

Należy zaktualizować pgAdmin 4 do wersji wyższej niż 9.9 zgodnie z informacjami dostępnymi u producenta w referencjach. Jako obejście — do czasu wdrożenia patcha — należy rozważyć ograniczenie dostępu do funkcji przywracania bazy lub unikanie trybu serwerowego. Nie należy przywracać baz danych z niezaufanych plików dump w formacie PLAIN.

Kogo dotyczy

pgAdmin 4 w wersjach do 9.9 włącznie, działający w trybie serwerowym (server mode).

Uwagi

Podatność dotyczy wyłącznie instalacji pgAdmin działających w trybie serwerowym (server mode); instalacje działające w trybie desktopowym nie są podatne. Zgłoszenie dostępne jest w repozytorium GitHub producenta (issue #9320).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
  • Pgadmin 4

    APP
    Pgadmin
    < 9.10
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-12046CRITICAL9.5ten sam produkt

Two state-mutating endpoints in pgAdmin 4's SQL Editor blueprint -- DELETE /sqleditor/close/<trans_id> and POS...

CVE-2026-12048CRITICAL9.3ten sam produkt

Stored cross-site scripting in pgAdmin 4's error-rendering and plan-node-rendering paths. Text returned by a P...

CVE-2026-12045CRITICAL9.4ten sam produkt

Read-only transaction bypass in the pgAdmin 4 AI Assistant allows an attacker who can influence database conte...

CVE-2026-7813CRITICAL9.4PL ✓ten sam produkt

pgAdmin 4: nieautoryzowany dostęp i privilege escalation w trybie serwerowym

CVE-2025-13780CRITICAL9.1PL ✓ten sam produkt

RCE w pgAdmin 4 poprzez złośliwe pliki dump w trybie serwerowym