ГлавнаяБаза уязвимостей БДУ → BDU:2025-03867
9критическая

BDU:2025-03867 (CVE-2025-2945)

Уязвимость функции eval() модулей Cloud Deployment и Query Tool инструмента управления базами данных pgAdmin 4, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2025-04-28
Описание

Уязвимость функции eval() модулей Cloud Deployment и Query Tool инструмента управления базами данных pgAdmin 4 связана с неверным управлением генерацией кода при обработке конечных точек /sqleditor/query_tool/download и /cloud/deploy с параметрами query_commited и high_availability. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированного POST-запроса

Затрагиваемое ПО и версии
РЕД ОС (7.3)pgAdmin 4 (до 9.2)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- использование средств межсетевого экранирования уровня веб-приложений (WAF);
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- использование виртуальных частных сетей для организации удаленного доступа (VPN).

Использование рекомендаций:
https://github.com/pgadmin-org/pgadmin4/commit/75be0bc22d3d8d7620711835db817bd7c021007c
https://www.pgadmin.org/download/pgadmin-4-source-code/

Обновление pgAdmin 4 до версии 9.2 и выше

Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-pgadmin4-cve-2025-2945/?sphrase_id=911075

Оценка CVSS
Балл9 — критическая опасность
Источники и патчи
https://feedly.com/cve/CVE-2025-2945https://github.com/pgadmin-org/pgadmin4/issues/8603https://py0zz1.tistory.com/199https://github.com/pgadmin-org/pgadmin4/commit/75be0bc22d3d8d7620711835db817bd7c021007chttps://www.pgadmin.org/download/pgadmin-4-source-code/https://py0zz1.tistory.com/entry/Remote-Code-Execution-Vulnerability-in-pgAdmin-CVE-2025-2945https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-pgadmin4-cve-2025-2945/?sphrase_id=911075
Проверьте безопасность своего сайта и почты → Полная проверка домена