Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-5002

Опубликовано: 22 сент. 2023
Источник: nvd
CVSS3: 6
CVSS3: 8.8
EPSS Средний

Уязвимость выполнения произвольных команд на сервере в pgAdmin из-за некорректной валидации пути

Описание

В pgAdmin была обнаружена уязвимость, возникающая при проверке HTTP API сервера pgAdmin пути, который пользователь выбирает для внешних утилит PostgreSQL, таких как pg_dump и pg_restore. В версиях pgAdmin до 7.6 не осуществлялся должный контроль кода сервера, выполняемого через этот API, что позволяло аутентифицированному пользователю выполнять произвольные команды на сервере.

Затронутые версии ПО

  • pgAdmin < 7.6

Тип уязвимости

Выполнение произвольных команд

Ссылки

Уязвимые конфигурации

Конфигурация 1
cpe:2.3:a:pgadmin:pgadmin_4:*:*:*:*:*:postgresql:*:*
Версия до 7.7 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:*

EPSS

Процентиль: 95%
0.17333
Средний

6 Medium

CVSS3

8.8 High

CVSS3

Дефекты

CWE-78
NVD-CWE-noinfo

Связанные уязвимости

debian логотип

CVE-2023-5002

CVSS3: 6
debian
почти 2 года назад

A flaw was found in pgAdmin. This issue occurs when the pgAdmin server ...

github логотип

GHSA-ghp8-52vx-77j4

CVSS3: 6
github
почти 2 года назад

pgAdmin failed to properly control the server code

fstec логотип

BDU:2023-06044

CVSS3: 6
fstec
почти 2 года назад

Уязвимость реализации прикладного программного интерфейса HTTP инструмента управления базами данных pgAdmin 4, позволяющая нарушителю выполнять произвольные команды на сервере

redos логотип

ROS-20231011-01

CVSS3: 6
redos
больше 1 года назад

Уязвимость pgAdmin

EPSS

Процентиль: 95%
0.17333
Средний

6 Medium

CVSS3

8.8 High

CVSS3

Дефекты

CWE-78
NVD-CWE-noinfo