0x00 漏洞编号

• CVE-2024-2044

0x01 危险等级

• 高危
  

0x02 漏洞概述

pgAdmin是PostgreSQL领先的开源图形化管理工具。pgAdmin4旨在满足新手和有经验的Postgres用户的需求，提供强大的图形界面，简化了数据库对象的创建、维护和使用。

0x03 漏洞详情

CVE-2024-2044

漏洞类型：反序列化

影响：任意代码执行

简述：pgAdmin4存在反序列化漏洞，当pgAdmin4运行在Window平台时攻击者可在无需登陆的情况下构造恶意请求造成远程代码执行。若pgAdmin4运行在Unix平台时，需要先经过身份认证才可触发反序列化造成代码执行。

0x04 影响版本

• pgAdmin <= 8.3

0x05 POC

https://www.shielder.com/advisories/pgadmin-path-traversal_leads_to_unsafe_deserialization_and_rce/

仅供安全研究与学习之用，若将工具做其他用途，由使用者承担全部法律及连带责任，作者及发布者不承担任何法律及连带责任。

0x06 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.pgadmin.org/

原文始发于微信公众号（浅安安全）：漏洞预警 | pgAdmin4反序列化漏洞