【漏洞预警】pgAdmin 远程代码执行漏洞(CVE-2025-2945)
【漏洞预警】pgAdmin 远程代码执行漏洞(CVE-2025-2945)
原创 聚焦网络安全情报 安全聚 2025-04-08 20:03
严
重
公
告
近日,安全聚实验室监测到 pgAdmin 存在远程代码执行漏洞 ,编号为:CVE-2025-2945,CVSS:10 由于 high_availability 参数被不安全地传递给 eval() 函数,低权限攻击者可以利用该漏洞注入恶意代码,从而获得对服务器的控制权限。
01 漏洞描述
VULNERABILITY DESC.
pgAdmin 是一个功能强大的开源管理工具,用于 PostgreSQL 数据库的开发和管理。它提供了直观的用户界面,使数据库管理员和开发人员能够轻松地执行常见任务,如创建和修改数据库对象、运行 SQL 查询、管理用户权限以及监控数据库性能。pgAdmin 支持多种操作系统,并且可以通过 Web 界面进行访问,方便用户在不同设备上进行管理操作。无论是小型项目还是大型企业级应用,pgAdmin 都是 PostgreSQL 用户的重要工具。该漏洞与 2 个 POST 端点有关;/sqleditor/query_tool/download,其中 query_commited 参数和 /cloud/deploy 端点,其中 high_availability 参数被不安全地传递给 Python eval()函数,从而允许执行任意代码。
02 影响范围
IMPACT SCOPE
pgAdmin4 <= 9.1
03 安全措施
SECURITY MEASURES
目前厂商已发布可更新版本,建议用户尽快更新至
pgAdmin4 的修复版本或更高的版本:
pgAdmin4 >= 9.2
下载链接:
https://www.pgadmin.org/docs/pgadmin4/9.2/release_notes_9_2.html
04 参考链接
REFERENCE LINK
1.https://github.com/pgadmin-org/pgadmin4/issues/8603
05 技术支持
TECHNICAL SUPPORT
长按识别二维码,关注 “安全聚”
公众号!如有任何问题或需要帮助,随时联系我们的技术支持团队。
联系我们
微信号:SecGat
关注安全聚,获取更多精彩文章。
END
HISTORY
/
往期推荐
【已复现】Windows TCP/IP 远程执行代码漏洞(CVE-2024-38063)
【漏洞预警 | 已复现】Apache OFBiz远程代码执行漏洞(CVE-2024-38856)