一、漏洞详情
pgAdmin 4是一款专门针对PostgreSQL数据库的客户端管理软件。
近日,监测到pgAdmin 4中修复了一个反序列化代码执行漏洞(CVE-2024-2044)。pgAdmin版本<= 8.3 在会话处理代码中反序列化用户会话时受容易到路径遍历漏洞的影响。如果服务器在 Windows 上运行,未经身份验证的威胁者可以加载和反序列化远程 pickle 对象并获得代码执行权;如果服务器在 POSIX/Linux 上运行,经过身份验证的威胁者可以上传恶意pickle对象并执行反序列化,从而导致代码执行。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
pgAdmin版本<= 8.3
三、修复建议
目前该漏洞已经修复,受影响用户可升级到pgAdmin 8.4或更高版本。