pgadmin 4远程命令执行漏洞
漏洞预警
北京中测安华科技有限公司
2022年12月
目录
第 1 章 概述
2022年12月9日,中测安华必达实验室监测到pgadmin 4存在远程命令执行漏洞,在window环境下,攻击者可通过构造恶意请求使pgadmin访问恶意的UNC地址,从而利用该漏洞执行任意命令。必达实验室从该漏洞的基本信息、漏洞影响、修复情况等多方面信息初步研判,该漏洞危害风险较高影响较大,提醒用户及时采取消控措施。
第 2 章 漏洞分析
2.1 漏洞信息概要
漏洞名称 |
|
漏洞编号 |
CNNVD编号:暂无 CVE编号:CVE-2022-4223 |
漏洞类型 |
远程命令执行 |
危害等级 |
危害等级:超危 CVSS 3.0:9.8 (AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H) |
相关厂商 |
pgadmin |
受影响产品 |
pgadmin |
厂商修复情况 |
厂商已修复 |
注:漏洞类型与危害等级参考[信息安全技术 安全漏洞分类 GB/T 33561-2017]
2.2 漏洞详情描述
pgAdmin 4是一款专门针对PostgreSQL数据库的客户端管理软件。
pgAdmin 4中存在远程命令执行漏洞。在Windows环境下,攻击者可通过构造恶意请求使pgadmin访问恶意的UNC地址,从而利用该漏洞执行任意命令。。
2.3 漏洞影响评估
2.3.1 受影响产品范围
适用于Windows的pgadmin v6.17之前版本
2.3.2 漏洞危害评估
根据pgadmin官方信息,攻击者成功利用该漏洞后可导致远程命令执行。中测安华必达实验室尚未发现针对该漏洞的利用工具。中测安华必达实验室对该漏洞影响情况评估后认为,相关漏洞极有可能存在被攻击者进一步利用的风险。鉴于使用pgadmin产品的用户群体较大,建议尽快去pgadmin官方网站下载升级补丁或更新至安全版本。
中测安华必达实验室将持续对此漏洞开展分析,及时更新相关信息,并通告提醒用户。
第 3 章 修复建议
3.1 厂商修复建议
目前官方已发布安全版本修复此漏洞,建议受影响的用户及时升级防护:
https://www.pgadmin.org/download/
第 4 章 参考链接
https://www.pgadmin.org/docs/pgadmin4/6.17/release_notes_6_17.HTML
第 5 章 时间线
日期 |
说明 |
2022年12月5日 |
pgadmin官网发布此漏洞相关的公告信息。 |
2022年12月9日 |
1. 中测安华必达实验室监测到该漏洞。 2. 中测安华必达实验室发布漏洞预警。 |
![weinxin](http://zone.ci/zone_ci_images/zone.ci.png)
评论