BDU:2025-03867
PostgreSQL Community Association of Canada, ООО «Ред Софт» pgAdmin 4, РЕД ОС
2025-03-27
Уязвимость функции eval() модулей Cloud Deployment и Query Tool инструмента управления базами данных pgAdmin 4 связана с неверным управлением генерацией кода при обработке конечных точек /sqleditor/query_tool/download и /cloud/deploy с параметрами query_commited и high_availability. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код путем отправки специально сформированного POST-запроса
Технический анализ и план устранения
🇷🇺 Рекомендация ФСТЭК
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры: - использование средств межсетевого экранирования уровня веб-приложений (WAF); - использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному обеспечению; - использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости; - использование виртуальных частных сетей для организации удаленного доступа (VPN).
Использование рекомендаций: https://github.com/pgadmin-org/pgadmin4/commit/75be0bc22d3d8d7620711835db817bd7c021007c https://www.pgadmin.org/download/pgadmin-4-source-code/
Обновление pgAdmin 4 до версии 9.2 и выше
Для РЕД ОС: https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-pgadmin4-cve-2025-2945/?sphrase_id=911075