出典: Security NEXT – https://www.security-next.com/178323
「pgAdmin4」リストア処理にRCE脆弱性 – 2カ月連続で判明
「pgAdmin4」リストア処理にRCE脆弱性 – 2カ月連続で判明
データベース「PostgreSQL」向け管理ツール「pgAdmin4」に深刻な脆弱性が明らかとなった。現地時間2025年12月11日にリリースされた最新版で解消された。
リモートより任意のコード実行が可能となる深刻な脆弱性「CVE-2025-13780」が確認されたもの。
PLAIN形式のダンプファイルをリストア処理する場合に影響を受けるコマンドインジェクションの脆弱性で、細工されたファイルをリストアすると、任意のコマンドが実行されるおそれがある。
PostgreSQLの開発チームは共通脆弱性評価システム「CVSSv3.1」のベーススコアを「9.1」と評価。重要度を4段階中もっとも高い「クリティカル(Critical)」とレーティングしている。
開発チームは、現地時間2025年12月11日に新規機能や複数のバグへ対処した「pgAdmin4 9.11」をリリース。「CVE-2025-13780」についても解消した。
「pgAdmin4」に関しては前月11月にもダンプファイルのリストア処理に関する脆弱性「CVE-2025
