pgAdmin4 <= 8.4 后台远程命令执行漏洞 (CVE-2024-3116)

北京赛克艾威科技有限公司 2024-04-07

  • 漏洞编号:CVE-2024-3116
  • 漏洞类型:命令执行
  • 漏洞等级:高危
  • 发布时间:2024-04-07

漏洞描述

近日,赛克艾威网络安全实验室监测到pgAdmin4 <= 8.4 后台远程命令执行漏洞情报。当pgAdmin4 运行在Window平台时,攻击者在登陆后可利用 validate_binary_path 接口构造恶意请求造成远程代码执行。

漏洞危害

攻击者在登陆后可利用 validate_binary_path 接口构造恶意请求造成远程代码执行。

影响版本

 pgAdmin4 <= 8.4

修复建议

将组件 pgadmin4 升级至 8.5 及以上版本