Cybersecurity Newsは4月7日(現地時間)、「pgAdmin 4 Vulnerabilities Expose Databases to Remote Code Execution and XSS」において、PostgreSQLの管理ツール「pgAdmin」から2件の脆弱性が発見されたと報じた。
これら脆弱性を悪用されると、認証されたリモートの攻撃者に任意のコードを実行される可能性がある。
-
pgAdmin 4 Vulnerabilities Expose Databases to Remote Code Execution and XSS
脆弱性に関する情報
脆弱性に関する情報は次のページにまとまっている。
- Remote Code Execution Vulnerability in pgAdmin (CVE-2025-2945) :: Py0zz1 W0r1d
- XSS Vulnerability in Query tool and View/Edit Data executing HTML/Javascript code on rendering of result grid. (CVE-2025-2946) · Issue #8602 · pgadmin-org/pgadmin4
脆弱性の情報(CVE)は次のとおり。
- CVE-2025-2945 - コードインジェクションの脆弱性。認証された攻撃者は特定のエンドポイントに細工したリクエストを送信することで、任意のコードを実行できる可能性がある(CVSSスコア: 9.9)
- CVE-2025-2946 - クロスサイトスクリプティング(XSS: Cross-Site Scripting)の脆弱性。認証された攻撃者はユーザーのWebブラウザ内で任意のHTMLおよびJavaScriptを実行できる可能性がある(CVSSスコア: 9.1)
脆弱性が存在する製品
脆弱性が存在する製品およびバージョンは次のとおり。
- pgAdmin 4 バージョン9.2よりも前のバージョン
脆弱性が修正された製品
脆弱性が修正された製品およびバージョンは次のとおり。
- pgAdmin 4 バージョン9.2
これら脆弱性の深刻度はいずれも緊急(Critical)と評価されており注意が必要。当該製品を運用している管理者は、影響を確認してアップデートすることが推奨されている。
ランサムウェア被害を受けた徳島・半田病院事業管理者が語る、備えておくべきこととは
