Vulnerabilitatea critică pgAdmin permite executarea de cod de la distanță

O vulnerabilitate critică de securitate detectată în pgAdmin 4, cel mai utilizat instrument de management pentru bazele de date PostgreSQL, permite atacatorilor să execute cod arbitrar pe sistemele afectate.

CVE-2025-2945 este o vulnerabilitate de tip RCE (Remote Code Execution) cu un grad de severitate critic și un scor CvSS de 9.9/10.

Vulnerabilitatea afectează toate versiunile de pgAdmin 4 anterioare versiunii 9.2, care a fost lansată pe 4 aprilie 2025. Aceasta se regăsește în 2 endpoint-uri POST separate  /sqleditor/query_tool/download și /cloud/deploy.

Ambele endpoint-uri conțin implementări periculoase ce transmit datele de intrare ale utilizatorului ce nu sunt de încredere direct către funcția Python eval() fără validarea sau sanitizarea corespunzătoare.

În endpoint-ul /sqleditor/query_tool/download/<int:trans_id>, vulnerabilitatea constă în modul în care aplicația procesează parametrul query_commited. Această implementare permite atacatorilor să trimită cod Python malițios care va fi executat pe server

În mod similar, în endpoint-ul /cloud/deploy, parametrul high_availability este transmis direct către eval(). Acest lucru permite atacatorilor să creeze cereri malițioase care pot executa cod arbitrar pe server, putând duce la compromiterea completă a sistemului.

Specialiștii în securitate au confirmat că exploatarea cu succes necesită autentificare.

Alături de vulnerabilitatea RCE, specialiștii au identificat și CVE-2025-2946, o vulnerabilitate de tip XSS (Cross-Site Scripting) cu un scor CvSS de 9.1/10.

Această vulnerabilitate permite atacatorilor să injecteze HTML și JavaScript arbitrar prin redarea rezultatului interogării atât în Query Tool, cât și în funcțiile View/Edit Data.

pgAdmin a lansat versiunea 9.2, care elimină utilizarea periculoasă a funcțiilor eval() și implementează validarea corectă a datelor de intrare.

Sursă: https://cybersecuritynews.com/critical-pgadmin-vulnerability/