漏洞预警 | pgAdmin 4 远程命令执行漏洞

admin

102503
文章

87
评论

2023年9月26日15:40:29评论78 views字数 450阅读1分30秒阅读模式

0x00 漏洞编号

CVE-2023-5002

0x01 危险等级

中危

0x02 漏洞概述

pgAdmin是PostgreSQL领先的开源图形化管理工具。pgAdmin 4 旨在满足新手和有经验的Postgres用户的需求，提供强大的图形界面，简化了数据库对象的创建、维护和使用。

漏洞预警 | pgAdmin 4 远程命令执行漏洞

0x03 漏洞详情

CVE-2023-5002

漏洞类型：远程命令执行

影响：任意代码执行

简述：pgAdmin 4 v7.6及之前版本中存在一处远程代码执行漏洞，在以服务器模式运行pgAdmin时，pgAdmin服务器使用用户通过HTTP API传入的PostgreSQL程序命令路径作为PostgreSQL执行路径，经过身份验证的攻击者通过传入伪造的程序命令可导致命令注入，实现在pgAdmin 4服务器上执行命令。

0x04 影响版本

pgAdmin 4 <= 7.6

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.pgadmin.org/

原文始发于微信公众号（浅安安全）：漏洞预警 | pgAdmin 4 远程命令执行漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞预警 | pgAdmin 4 远程命令执行漏洞

CVE-2023-5002

漏洞预警 | Docker Desktop增强容器隔离限制绕过漏洞

漏洞预警 | D-Link D-View 8 硬编码密钥漏洞

(CVE-2023-30591) NodeBB 预身份验证拒绝服务

CVE-2023-41081：Apache Tomcat 连接器中的高严重性漏洞

禅道项目管理系统身份认证绕过[漏洞复现]

LiveGBS-save-任意用户添加漏洞复现

禅道身份认证绕过漏洞QVD-2024-15263

针对 MSKSSRV.SYS 驱动程序的 CVE-2023-29360 漏洞利用

NUUO 摄像头远程命令执行漏洞

Windows内核EoP漏洞（CVE-2024-21345）获取PoC利用代码

发表评论

在线咨询

微信