一、漏洞详情
pgAdmin是一个用于管理和开发PostgreSQL数据库的开源图形化工具。
近日,监测到pgAdmin 4中的一个远程命令执行漏洞。该漏洞出现在PLAIN恢复元命令过滤器中,该过滤器是为修复CVE-2025-12762而引入的。该过滤器未能正确识别以UTF-8字节顺序标记(EF BB BF)或其他特殊字节序列开头的SQL文件中的元命令。过滤器使用的has_meta_commands()函数通过正则表达式扫描原始字节,但未能将这些字节视为可忽略,从而导致元命令(如\\!)未被检测到。当pgAdmin通过psql file命令调用SQL文件时,psql会去除这些字节并执行其中的命令,从而可能导致远程命令执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
pgAdmin 4 < 9.11
三、修复建议
官方已发布修复补丁,以修复该漏洞。
pgAdmin 4 >= 9.11