Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-15881

Опубликовано: 11 дек. 2025
Источник: fstec
CVSS3: 9.1
CVSS2: 8
EPSS Низкий

Описание

Уязвимость функции has_meta_commands() инструмента управления базами данных pgAdmin 4 связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие механизмы безопасности путем внедрения специально сформированного SQL-файла

Вендор

ООО «РусБИТех-Астра»
Fedora Project
PostgreSQL Community Association of Canada
ООО «Ред Софт»

Наименование ПО

Astra Linux Special Edition
Fedora
pgAdmin 4
РЕД ОС

Версия ПО

1.8 (Astra Linux Special Edition)
42 (Fedora)
43 (Fedora)
до 9.11 (pgAdmin 4)
8.0 (РЕД ОС)

Тип ПО

Операционная система
СУБД

Операционные системы и аппаратные платформы

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.8
Fedora Project Fedora 42
Fedora Project Fedora 43
ООО «Ред Софт» РЕД ОС 8.0

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 8.0)
Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9.1)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности импорта в систему управления баз данных файлов, полученных из недоверенных источников;
- использование антивирусного программного обеспечения для проверки файлов, полученных из недоверенных источников;
- использование замкнутой программной среды для работы с файлами, полученными из недоверенных источников;
- использование средств межсетевого экранирования для ограничения доступа к уязвимому программному обеспечению;
- ограничение доступа к уязвимому программному обеспечению, используя схему доступа по «белым спискам»;
- использование систем обнаружения и предотвращения вторжений для обнаружения (выявления, регистрации) и реагирования на попытки эксплуатации уязвимостей;
- ограничение доступа из внешних сетей (Интернет).
В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций производителя:
Для pgAdmin4:
https://www.postgresql.org/about/news/pgadmin-4-v911-released-3192/
Для Fedora:
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2025-13780
Для Ред ОС:
http://repo.red-soft.ru/redos/8.0/x86_64/updates/
Для ОС Astra Linux:
обновить пакет pgadmin4 до 9.11-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2026-0224SE18

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 38%
0.00167
Низкий

9.1 Critical

CVSS3

8 High

CVSS2

Связанные уязвимости

redos логотип

ROS-20260216-73-0001

CVSS3: 9.1
redos
около 2 месяцев назад

Уязвимость pgadmin4

nvd логотип

CVE-2025-13780

CVSS3: 9.1
nvd
4 месяца назад

pgAdmin versions up to 9.10 are affected by a Remote Code Execution (RCE) vulnerability that occurs when running in server mode and performing restores from PLAIN-format dump files. This issue allows attackers to inject and execute arbitrary commands on the server hosting pgAdmin, posing a critical risk to the integrity and security of the database management system and underlying data.

debian логотип

CVE-2025-13780

CVSS3: 9.1
debian
4 месяца назад

pgAdmin versions up to 9.10 are affected by a Remote Code Execution (R ...

github логотип

GHSA-fxmw-jcgr-w44v

CVSS3: 9.1
github
4 месяца назад

pgadmin4 has a Meta-Command Filter Command Execution

EPSS

Процентиль: 38%
0.00167
Низкий

9.1 Critical

CVSS3

8 High

CVSS2