pgAdmin 作为全球领先的 PostgreSQL 图形化管理工具,不仅是数据库开发运维核心平台,更凭借全链路数据管控能力,成为企业级结构化数据安全传输与交换的基础设施。其深度集成 PostgreSQL 逻辑复制、外部表等高级特性,辅以细粒度权限管控与审计机制,为金融、医疗、零售等数据敏感行业提供 “数据库到文件系统” 的全生命周期管理,实现安全、可控、可追溯的数据导出、迁移及跨系统交互,堪称企业结构化数据流转的安全网关。
漏洞概述
近日,银河哈希监控一个 pgAdmin 远程代码执行漏洞。pgAdmin 4 存在远程代码执行安全漏洞,涉及
/sqleditor/query_tool/download(query_commited 参数)和
/cloud/deploy(high_availability 参数)2 个 POST 端点,相关参数不安全地传递给 Python
eval()函数,允许任意代码执行,此问题影响 pgAdmin 4 v9.2 之前的版本。
| 漏洞编号 | CVE-2025-2945 |
|---|---|
| 漏洞类型 | 远程代码执行漏洞 |
| 漏洞评分 | 9.9 |
| 漏洞等级 | 高危 |
| 影响组件 | pgAdmin |
| 利用成熟度 | POC已公开 |
| 利用难度 | 低 |
| 利用方式 | 远程 |
GitHub 定级 10 分漏洞
在 GitHub Advisory Database (GitHub 安全公告数据库)中,该漏洞被定级 10 分满分。GitHub 安全公告数据库,是一个安全漏洞数据库,包含 CVE 和来自 GitHub 的开源软件安全公告。
漏洞测试
利用POC成功复现:
解决方案
pgAdmin 官方已发布安全版本,修复版本为 pgAdmin 4 v9.2。请尽快更新到最新版本。
pgAdmin 4 v9.2 发版
2025 年 4 月 3 日,pgAdmin 4 v9.2 发版,修复了 24 个问题,并增加一些新特性。可惜在 pgAdmin 的发版通告中,只是在末尾轻描淡写提了一句,并没有重点指出该漏洞的严重影响。
参考资料
https://github.com/pgadmin-org/pgadmin4/issues/8603 https://py0zz1.tistory.com/entry/Remote-Code-Execution-Vulnerability-in-pgAdmin-CVE-2025-2945 https://github.com/advisories/GHSA-g73c-fw68-pwx3 https://www.pgadmin.org/docs/pgadmin4/9.2/release_notes_9_2.html技术支持
大连银河哈希安全技术科技有限公司成立于2022年,公司初创团队源于国内知名战队ChaMd5安全团队组建,曾获2023年大连市“连盾”演练第二名及各地市优秀攻击队,并获得多地网信办、经侦支队及应急保障中心感谢信,也服务多家CTF厂商举办赛事。
Have a nice day ~ ☕
???? 往期精彩 ▼
「合集」三年 50 篇,TiDB 干货全收录 「合集」MySQL 8.x 系列文章汇总 GQL:SQL的新兄弟 TiDB 新朋友 DBdoctor Oracle 数据库全面升级为 23ai 广东的崖山,中国的崖山数据库 TiDB v8 发版!超硬核 v8 引擎! 几张图带你了解 TiDB 架构演进 Easysearch 性能测试方法概要 一文带你了解 GB 18030-2022 字符集 一文带你了解 KING BASE 金仓数据库 全球 Oracle ACE 社区突破 500 位成员 如何选择适合的 MySQL Connector/J 版本 即将告别 PG 12,建议升级到 PG 16.3 版本 IvorySQL 4.0 发布!新增支持 Ubuntu 系统 一文了解金仓数据库 KES 的 SQL Server 兼容性 G-Star Landscape 2.0 重磅发布,助力开源生态再升级 【一文讲透(番外篇)】如何编译安装KWDB v2.0.4数据库 TiDB x DeepSeek 打造更好用的国产知识库问答系统解决方案– / END / –???? 这里可以找到我
微信公众号: @少安事务所 ITPUB: @少安事务所 TiDB 专栏: @ShawnYan PGFans: @严少安 墨天轮: @严少安???? 这里有得聊如果对国产基础软件(操作系统、数据库、中间件)感兴趣,可以加群一起聊聊。 关注微信公众号:少安事务所,后台回复[群],即可看到入口。如果这篇文章为你带来了灵感或启发,请帮忙『 三连』吧,感谢!ღ( ´・ᴗ・` )~
