pgAdmin4 远程命令执行漏洞

• 漏洞编号：CVE-2023-5002
  

• 漏洞类型：远程命令执行(RCE)

• 漏洞等级：中危

• 发布时间：2023-09-22

漏洞描述：

pgAdmin 是 PostgreSQL 领先的开源图形化管理工具。pgAdmin 4 旨在满足新手和有经验的 Postgres 用户的需求，提供强大的图形界面，简化了数据库对象的创建、维护和使用。

pgAdmin 4 v7.6及之前版本中存在一处远程代码执行漏洞，在以服务器模式运行pgAdmin时，pgAdmin 服务器使用用户通过HTTP API 传入的 PostgreSQL程序命令路径作为PostgreSQL 执行路径，经过身份验证的攻击者通过传入伪造的程序命令可导致命令注入，实现在pgAdmin 4服务器上执行命令。

影响版本：

修复建议

官方已修复该漏洞，建议用户更新到安全版本。
安全版本:
pgAdmin 4 >= 7.7
下载链接：
https://www.pgadmin.org/docs/pgadmin4/7.7/release_notes_7_7.html

参考链接:

https://bugzilla.redhat.com/show_bug.cgi?id=2239164
https://github.com/pgadmin-org/pgadmin4/issues/6763