Kritična sigurnosna ranjivost otkrivena u pgAdmin-u 4, najčešće korišćenom alatu za upravljanje PostgreSQL bazama podataka , omogućava napadačima da izvrše proizvoljan kod na pogođenim sistemima.
Istraživači sigurnosti su otkrili detalje o CVE-2025-2945, teškoj ranjivosti na daljinsko izvršavanje koda (RCE) sa CVSS ocjenom 9,9, što ukazuje na najviši nivo ozbiljnosti.
Ranjivost utiče na sve verzije pgAdmin-a 4 prije 9.2, koja je objavljena 4. aprila 2025. Sigurnosna greška postoji u dvije odvojene POST krajnje tačke: /sqleditor/query_tool/download i /cloud/deploy.
Obje krajnje točke sadrže opasne implementacije koje prosljeđuju nepouzdani korisnički unos direktno u Pythonovu eval() funkciju bez odgovarajuće validacije ili sanacije.
Belgijski centar za sajber sigurnost (CCB) izdao je hitno savjetovanje 4. aprila, upozoravajući da bi eksploatacija mogla dovesti do „proboja podataka, kompromitacije sistema i zastoja u radu koji utiču na povjerljivost, integritet i dostupnost kritičnih poslova“.
pgAdmin detalji ranjivosti
U /sqleditor/query_tool/download/<int:trans_id> krajnjoj tački, ranjivost leži u tome kako aplikacija obrađuje parametar query_commited:
Ova implementacija omogućava napadačima da pošalju maliciozni Python kod koji će se izvršiti na serveru. Na primjer, jednostavan maliciozan zahtjev može izgledati ovako:
Slično, u /cloud/deploy krajnjoj točki, parametar high_availability se direktno prosljeđuje eval():
Ovo omogućava napadačima da kreiraju maliciozne zahtjeve koji mogu da izvrše proizvoljan kod na serveru, što potencijalno može dovesti do potpunog kompromitovanja sistema.
Sažetak ranjivosti je dat u nastavku:
| Faktori rizika | Detalji |
| Pogođeni proizvodi | pgAdmin 4 verzije prije 9.2, uključujući Query Tool i Cloud Deployment module. |
| Uticaj | Daljinsko izvršenje koda (RCE) |
| Preduvjeti za eksploataciju | Autentifikovani pristup sa niskim privilegijama – Mogućnost slanja izrađenih POST zahteva ranjivim krajnjim tačkama (/sqleditor/query_tool/download i /cloud/deploy) |
| CVSS 3.1 Score | 9.9 (kritično) |
Uticaj i eksploatacija
Stručnjaci za sigurnost potvrdili su da je za uspješnu eksploataciju potrebna autentikacija, ali kada se postigne, napadači mogu:
- Izvrši proizvoljan kod s dozvolama procesa pgAdmin.
- Pristupite, modificirajte ili eksfiltrirajte osjetljive podatke iz PostgreSQL baza podataka.
- Uspostavite uporan pristup kroz backdoor.
- Pomjerite se bočno unutar mreže kako biste kompromitirali dodatne sisteme.
- Eskalirajte privilegije ako pgAdmin radi s povišenim dozvolama.
Pored RCE ranjivosti, istraživači su identifikovali i CVE-2025-2946, ranjivost unakrsnog skriptovanja (XSS) sa CVSS ocenom 9,1.
Ova mana omogućava napadačima da ubrizgaju proizvoljni HTML i JavaScript kroz renderiranje rezultata upita i u alatu za upit i u funkcijama Pregled/uređivanje podataka.
Razvojni tim pgAdmin-a objavio je verziju 9.2, koja uklanja opasnu upotrebu eval() funkcija i implementira odgovarajuću provjeru valjanosti unosa.
Zakrpa je objavljena u roku od 24 sata od prijave ranjivosti.
CCB snažno preporučuje organizacijama da:
- Odmah ažurirajte na pgAdmin 4 verziju 9.2.
- Povećajte mogućnosti praćenja i otkrivanja za identifikaciju sumnjivih aktivnosti.
- Provedite temeljito testiranje prije implementacije ažuriranja u proizvodnim okruženjima.
“Iako zakrpa uređaja ili softvera na najnoviju verziju može osigurati sigurnost od buduće eksploatacije, to ne popravlja povijesni kompromis”, upozorava CCB.
Organizacije koje koriste pgAdmin four su pozvane da provjere znakove kompromisa i prijave sve sigurnosne incidente svojim nadležnim tijelima za sajber sigurnost.
Izvor: CyberSecurityNews