pgAdmin 是一个功能强大的开源管理工具,用于 PostgreSQL 数据库的开发和管理。它提供了直观的用户界面,使数据库管理员和开发人员能够轻松地执行常见任务,如创建和修改数据库对象、运行 SQL 查询、管理用户权限以及监控数据库性能。pgAdmin 支持多种操作系统,并且可以通过 Web 界面进行访问,方便用户在不同设备上进行管理操作。无论是小型项目还是大型企业级应用,pgAdmin 都是 PostgreSQL 用户的重要工具。该漏洞与 2 个 POST 端点有关;/sqleditor/query_tool/download,其中 query_commited 参数和 /cloud/deploy 端点,其中 high_availability 参数被不安全地传递给 Python eval()函数,从而允许执行任意代码。
pgAdmin4 <= 9.1
pgAdmin4 >= 9.2
1.https://github.com/pgadmin-org/pgadmin4/issues/8603
原文始发于微信公众号(安全聚):【漏洞预警】pgAdmin 远程代码执行漏洞(CVE-2025-2945)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论