ГлавнаяБаза уязвимостей БДУ → BDU:2024-02704
6.5высокая

BDU:2024-02704 (CVE-2024-3116)

Уязвимость инструмента управления базами данных pgAdmin 4, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-04-06
Описание

Уязвимость инструмента управления базами данных pgAdmin 4 существует из-за неверного ограничения имени пути к каталогу с ограниченным доступом. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
РЕД ОС (7.3)pgAdmin 4 (до 8.5)
Способ устранения

Установка обновлений из доверенных источников.
В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование антивирусного программного обеспечения для предотвращения выполнения несанкционированных действий на сервере БД;
- использование средств межсетевого экранирования уровня веб-приложений для ограничения возможности удалённого доступа;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций производителя:
https://www.pgadmin.org/download/

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-pgadmin4-cve-2024-3116/?sphrase_id=1075903

Оценка CVSS
Балл6.5 — высокая опасность
Источники и патчи
https://gist.github.com/aelmokhtar/689a8be7e3bd535ec01992d8ec7b2b98https://github.com/pgadmin-org/pgadmin4/issues/7326https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-pgadmin4-cve-2024-3116/?sphrase_id=1075903
Проверьте безопасность своего сайта и почты → Полная проверка домена