[TLP:CLEAR] pgAdmin 4 opravuje 4 zranitelnosti
pgAdmin 4 verzí 9.10 opravuje 4 zranitelnosti, z toho jednu kritickou [1].
Autentizovanému vzdálenému útočníkovi je na hostitelském serveru umožněno spustit libovolný kód při obnovení databáze ze záložního souboru ve formátu plain [2][3].
Zranitelnost se nachází v produktu pgAdmin 4 ve verzích <9.10.
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:L
Více informací:
- CVE-2025-12762 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-94: Improper Control of Generation of Code ('Code Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 11. 2025.
Neautentizovanému vzdálenému útočníkovi je kvůli chybě v autentizačním mechanismu LDAP umožněno obejít verifikaci TLS certifikátu [4][5].
Zranitelnost se nachází v produktu pgAdmin 4 ve verzích <9.10.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Více informací:
- CVE-2025-12765 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-295: Improper Certificate Validation at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 11. 2025.
Neautentizovanému vzdálenému útočníkovi je v rámci LDAP autentizace umožněno vložit speciální znaky do pole pro přihlašovací jméno a jejich zasláním vykonat útok DoS [6][7].
Zranitelnost se nachází v produktu pgAdmin 4 ve verzích <9.10.
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Více informací:
- CVE-2025-12764 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-90: Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 11. 2025.
Autentizovanému vzdálenému útočníkovi je na systémech Windows za určitých podmínek během zálohování či obnovy umožněno spouštět libovolné systémové příkazy [8].
Zranitelnost se nachází v produktu pgAdmin 4 ve verzích <9.10.
CVSS: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2025-12763 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-78: Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection') at cwe.mitre.org
Zranitelnost byla veřejně oznámena 13. 11. 2025.
Odkazy
- [1] https://www.postgresql.org/about/news/pgadmin-4-v910-released-3173/
- [2] https://github.com/advisories/GHSA-w2p4-p4rh-qcm3
- [3] https://www.postgresql.org/docs/current/app-pgdump.html
- [4] https://github.com/advisories/GHSA-g4r8-3qmh-pmch
- [5] https://www.wiz.io/vulnerability-database/cve/cve-2025-12765
- [6] https://github.com/advisories/GHSA-cvf4-f829-762v
- [7] https://github.com/pgadmin-org/pgadmin4/issues/9325
- [8] https://github.com/advisories/GHSA-rm79-x4g6-hvg5
Za CESNET-CERTS Michaela Ručková dne 20. 11. 2025.
