Múltiples vulnerabilidades en pgAdmin 4
pgAdmin 4, versiones anteriores a la 9.2.
Se han publicado 2 vulnerabilidades de severidad crítica que podrían permitir ejecución de código arbitrario en el navegador.
Actualizar a la versión 9.2.
La vulnerabilidad CVE-2025-2945 es de tipo de ejecución remota de código (RCE). Está asociada con los 2 endpoint POST: /sqleditor/query_tool/download parámetro ‘query_commited’ y /cloud/deploy parámetro ‘high_availability’ los cuales se pasan de forma insegura a la función eval() de Python, lo que permite la ejecución de código arbitrario. Para esta vulnerabilidad existe una prueba de concepto publicada en formato vídeo.
La vulnerabilidad CVE-2025-2946, de tipo Cross-Site Scripting (XSS), podría permitir a los atacantes ejecutar cualquier código HTML/JavaScript arbitrario en el navegador de un usuario mediante la presentación de resultados de una consulta, lo que haría que dicho código se ejecute en el navegador. Cuando un usuario ejecuta una consulta que recupera datos con cargas útiles de JavaScript maliciosas, PgAdmin procesa el resultado sin la debida depuración. Esto provoca la ejecución inmediata de scripts incrustados en el navegador.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.