pgAdmin 4 远程命令执行漏洞(CVE-2025-13780)预警
1、基本情况
pgAdmin 是一个用于管理和开发 PostgreSQL 数据库的开源图形化工具。它提供了一个用户友好的界面,用于执行 SQL 查询、管理数据库对象、查看数据库对象的结构、生成报表和备份/恢复数据库等操作。pgAdmin 支持多种操作系统,包括 Windows、macOS 和 Linux,并且可以通过 Web 浏览器访问,便于远程管理。它广泛应用于数据库管理员、开发人员和数据分析师中,支持 PostgreSQL 的所有功能并简化了数据库管理任务。
近日,监测发现 pgAdmin 官方发布安全公告,修复了一处远程命令执行漏洞(CVE-2025-13780),该漏洞出现在 PLAIN 恢复元命令过滤器中,该过滤器是为修复 CVE-2025-12762 而引入的。该过滤器未能正确识别以 UTF-8 字节顺序标记(EF BB BF)或其他特殊字节序列开头的 SQL 文件中的元命令。过滤器使用的 has_meta_commands()函数通过正则表达式扫描原始字节,但未能将这些字节视为可忽略,从而导致元命令(如\\!)未被检测到。当 pgAdmin 通过 psql file 命令调用 SQL 文件时,psql 会去除这些字节并执行其中的命令,从而可能导致远程命令执行。
鉴于该漏洞影响范围较大,建议广大用户尽快做好自查及防护。
2、影响范围
受影响版本
⚫ pgAdmin 4 < 9.11
3、处置建议
官方已发布安全补丁,请及时升级至最新版本。
下载地址:https://github.com/pgadmin-org/pgadmin4/
4、参考链接
1) https://github.com/advisories/GHSA-fxmw-jcgr-w44v/
2) https://nvd.nist.gov/vuln/detail/CVE-2025-13780