出典: Security NEXT – https://www.security-next.com/177131
DB管理ツール「pgAdmin4」に複数の脆弱性が発見され、クリティカルな問題も含む
PostgreSQLの管理ツールとして広く利用されている「pgAdmin4」に、複数のセキュリティ脆弱性が明らかになりました。開発チームはこれらの問題に対応するため、2025年11月13日に「pgAdmin4 9.10」をリリースし、セキュリティアップデートを提供しています。
主要なポイント
- クリティカルなコマンド実行の脆弱性(CVE-2025-12762)
PLAIN形式のダンプファイルをリストアする際に、任意のコマンドを実行される恐れがあります。悪用には権限が必要ですが、pgAdmin4が動作する権限でコマンドが実行可能となり、CVSSスコアは9.1のクリティカル評価です。 - LDAP関連の高リスク脆弱性(CVE-2025-12764、CVE-2025-12765)
ユーザー名を細工することでサービス拒否(DoS)を引き起こすLDAPインジェクションや、LDAP認証時にTLS証明書の検証をバイパスできる問題が判明。いずれもCVSSスコア7.5で高リスクと評価されています。 - Windows環境に影響する中リスク脆弱性(CVE-2025-12763)
WindowsでpgAdmin4を利用する際に影響を及ぼす中程度の重要度の脆弱性も報告されています。 - 迅速なアップデートの重要性
これらの脆弱性は実際の攻撃に悪用される可能性があるため、利用者は速やかに最新バージョンへの更新を行うことが推奨されます。
技術的な詳細や背景情報
pgAdmin4はPostgreSQL向けの代表的なデータベース管理ツールであり、GUIを通じてデータベースの操作や管理を容易にします。今回の脆弱性の中で特に注目されるのは「CVE-2025-12762」です。これは、PLAIN形式のバックアップファイルを復元する際に、悪意のあるコードが実行される可能性がある問題で、攻撃者がpgAdmin4の実行権限を利用してシステムに不正アクセスを行う恐れがあります。
LDAP(Lightweight Directory Access Protocol)関連の脆弱性は、認証やユーザー管理に用いられるLDAPの仕組みを悪用し、サービス拒否や認証回避を引き起こすものです。TLS証明書の検証バイパスは、通信の安全性を損なうため、特に注意が必要です。
影響や重要性
pgAdmin4は多くの企業や開発者がPostgreSQLの管理に利用しているため、これらの脆弱性が悪用されると、データベースの不正操作や情報漏洩、サービス停止など深刻な影響を及ぼす可能性があります。特にクリティカルな脆弱性は、攻撃者によるシステム制御の奪取に繋がるため、早急な対策が求められます。
また、LDAP関連の脆弱性は認証基盤の信頼性を揺るがす問題であり、組織のセキュリティポリシーに大きな影響を与えることから、注意深い対応が必要です。
まとめ
pgAdmin4における複数の脆弱性は、特にクリティカルなコマンド実行の問題を含み、PostgreSQLユーザーにとって重大なリスクとなります。開発チームは既に修正済みのバージョンをリリースしているため、利用者は速やかにアップデートを適用し、システムの安全性を確保することが重要です。今後もデータベース管理ツールのセキュリティ情報に注意を払い、適切な対策を継続していく必要があります。
