ГлавнаяБаза уязвимостей БДУ → BDU:2025-15881
8критическая

BDU:2025-15881 (CVE-2025-13780)

Уязвимость функции has_meta_commands() инструмента управления базами данных pgAdmin 4, позволяющая нарушителю обойти существующие механизмы безопасности
Опубликовано: 2025-12-15
Описание

Уязвимость функции has_meta_commands() инструмента управления базами данных pgAdmin 4 связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие механизмы безопасности путем внедрения специально сформированного SQL-файла

Затрагиваемое ПО и версии
Astra Linux Special Edition (1.8)Fedora (42)Fedora (43)pgAdmin 4 (до 9.11)РЕД ОС (8.0)
Способ устранения

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.

Компенсирующие меры:
- ограничение возможности импорта в систему управления баз данных файлов, полученных из недоверенных источников;
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;
- использование средств межсетевого экранирования для ограничения доступа к уязвимому программному обеспечению;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа из внешних сетей (Интернет).

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций производителя:
Для pgAdmin4:
https://www.postgresql.org/about/news/pgadmin-4-v911-released-3192/

Для Fedora:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2025-13780

Для Ред ОС:
http://repo.red-soft.ru/redos/8.0/x86_64/updates/

Для ОС Astra Linux:
обновить пакет pgadmin4 до 9.11-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

Оценка CVSS
Балл8 — критическая опасность
Источники и патчи
https://www.postgresql.org/about/news/pgadmin-4-v911-released-3192/https://www.endorlabs.com/learn/when-regex-isnt-enough-how-we-discovered-cve-2025-13780-in-pgadminhttps://bugzilla.redhat.com/show_bug.cgi?id=CVE-2025-13780http://repo.red-soft.ru/redos/8.0/x86_64/updates/https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18
Проверьте безопасность своего сайта и почты → Полная проверка домена