漏洞详情

包管理器: pip
受影响包: pgadmin4 (pip)
受影响版本: < 9.10
已修复版本: 9.10

漏洞描述

pgAdmin 9.9及以下版本在服务器模式下运行时，处理PLAIN格式转储文件的恢复操作时存在远程代码执行(RCE)漏洞。该漏洞允许攻击者在托管pgAdmin的服务器上注入并执行任意命令，对数据库管理系统和底层数据的完整性与安全构成严重风险。

参考信息

• https://nvd.nist.gov/vuln/detail/CVE-2025-12762
• pgadmin-org/pgadmin4#9320
• pgadmin-org/pgadmin4@1d39739

严重程度

严重等级: 严重
CVSS总体评分: 9.1/10

CVSS v3基础指标

• 攻击向量: 网络
• 攻击复杂度: 低
• 所需权限: 低
• 用户交互: 无
• 范围: 已更改
• 机密性: 高
• 完整性: 低
• 可用性: 低

CVSS向量: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L

弱点分类

弱点: CWE-94
描述: 代码生成控制不当（代码注入）
产品使用来自上游组件的外部影响输入构建全部或部分代码段，但未能中和或错误地中和可能修改预期代码段语法或行为的特殊元素。