Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-15881

Опубликовано: 11 дек. 2025
Источник: fstec
CVSS3: 9.1
CVSS2: 8
EPSS Низкий

Описание

Уязвимость функции has_meta_commands() инструмента управления базами данных pgAdmin 4 связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие механизмы безопасности путем внедрения специально сформированного SQL-файла

Вендор

Fedora Project
PostgreSQL Community Association of Canada
ООО «Ред Софт»

Наименование ПО

Fedora
pgAdmin 4
РЕД ОС

Версия ПО

42 (Fedora)
43 (Fedora)
до 9.11 (pgAdmin 4)
8.0 (РЕД ОС)

Тип ПО

Операционная система
СУБД

Операционные системы и аппаратные платформы

Fedora Project Fedora 42
Fedora Project Fedora 43
ООО «Ред Софт» РЕД ОС 8.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8.0)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9.1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности импорта в систему управления баз данных файлов, полученных из недоверенных источников;
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;
- использование средств межсетевого экранирования для ограничения доступа к уязвимому программному обеспечению;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа из внешних сетей (Интернет).
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций производителя:
Для pgAdmin4:
https://www.postgresql.org/about/news/pgadmin-4-v911-released-3192/
Для Fedora:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2025-13780
Для Ред ОС:
http://repo.red-soft.ru/redos/8.0/x86_64/updates/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 35%
0.00144
Низкий

9.1 Critical

CVSS3

8 High

CVSS2

Связанные уязвимости

nvd логотип

CVE-2025-13780

CVSS3: 9.1
nvd
около 2 месяцев назад

pgAdmin versions up to 9.10 are affected by a Remote Code Execution (RCE) vulnerability that occurs when running in server mode and performing restores from PLAIN-format dump files. This issue allows attackers to inject and execute arbitrary commands on the server hosting pgAdmin, posing a critical risk to the integrity and security of the database management system and underlying data.

debian логотип

CVE-2025-13780

CVSS3: 9.1
debian
около 2 месяцев назад

pgAdmin versions up to 9.10 are affected by a Remote Code Execution (R ...

github логотип

GHSA-fxmw-jcgr-w44v

CVSS3: 9.1
github
около 2 месяцев назад

pgadmin4 has a Meta-Command Filter Command Execution

EPSS

Процентиль: 35%
0.00144
Низкий

9.1 Critical

CVSS3

8 High

CVSS2