Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en pgAdmin 4

Fecha de publicación 07/04/2025
Identificador
INCIBE-2025-0173
Importancia
5 - Crítica
Recursos Afectados

pgAdmin 4, versiones anteriores a la 9.2.

Descripción

Se han publicado 2 vulnerabilidades de severidad crítica que podrían permitir ejecución de código arbitrario en el navegador.

Solución

Actualizar a la versión 9.2.

Detalle

La vulnerabilidad CVE-2025-2945 es de tipo de ejecución remota de código (RCE). Está asociada con los 2 endpoint POST: /sqleditor/query_tool/download parámetro 'query_commited' y /cloud/deploy parámetro 'high_availability' los cuales se pasan de forma insegura a la función eval() de Python, lo que permite la ejecución de código arbitrario. Para esta vulnerabilidad existe una prueba de concepto publicada en formato vídeo.

La vulnerabilidad CVE-2025-2946, de tipo Cross-Site Scripting (XSS), podría permitir a los atacantes ejecutar cualquier código HTML/JavaScript arbitrario en el navegador de un usuario mediante la presentación de resultados de una consulta, lo que haría que dicho código se ejecute en el navegador. Cuando un usuario ejecuta una consulta que recupera datos con cargas útiles de JavaScript maliciosas, PgAdmin procesa el resultado sin la debida depuración. Esto provoca la ejecución inmediata de scripts incrustados en el navegador.