pgAdmin 4 Windows系统命令注入漏洞分析
漏洞概述
CVE-2025-12763 是pgAdmin 4在Windows系统中存在的一个命令注入漏洞,被评定为中等严重程度。该漏洞影响pgAdmin 4的9.9及以下版本,已在9.10版本中得到修复。
技术细节
受影响版本
- 受影响版本:<= 9.9
- 已修复版本:9.10
漏洞成因
该漏洞源于在备份和恢复操作中使用了shell=True参数,使得攻击者能够通过提供特制的文件路径输入来执行任意系统命令。
漏洞特征
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:高
- 用户交互:需要
- 影响范围:未改变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高
安全指标
CVSS评分
总体评分:6.8/10
CVSS v3.1基础指标:
|
|
弱点分类
- CWE-ID:CWE-78
- 弱点描述:操作系统命令中使用的特殊元素的不当中和(OS命令注入)
参考信息
- 国家漏洞数据库:https://nvd.nist.gov/vuln/detail/CVE-2025-12763
- GitHub问题跟踪:pgadmin-org/pgadmin4#9323
- 修复提交:pgadmin-org/pgadmin4@e374edc
安全建议
用户应立即升级到pgAdmin 4版本9.10或更高版本,以修复此命令注入漏洞,确保系统安全。