Уязвимость BDU:2025-00245

Уязвимость BDU:2025-00245

Идентификатор: BDU:2025-00245.

Наименование уязвимости: Уязвимость конфигурации LDAP-аутентификации режима Server Mode инструмента управления базами данных pgAdmin 4, позволяющая нарушителю обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации.

Описание уязвимости: Уязвимость конфигурации LDAP-аутентификации режима Server Mode инструмента управления базами данных pgAdmin 4 связана с некорректной фиксацией сеанса в результате неправильного разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти ограничения безопасности и получить несанкционированный доступ к защищаемой информации
Уязвимое ПО: СУБД PostgreSQL Community Association of Canada pgAdmin 4 до 7.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 04.04.2023.
CVSS 2.0: AV:N/AC:H/Au:S/C:C/I:C/A:C
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/pgadmin-org/pgadmin4/commit/fa29ba91632634d961f937ce3ed2c3b5a9d78f59
https://github.com/pgadmin-org/pgadmin4/blob/a9974b418c49760d3989b7fb25e052ff16b89ac6/docs/en_US/release_notes_7_0.rst
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2023-1907.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/pgadmin-org/pgadmin4/issues/6100
https://bugzilla.redhat.com/show_bug.cgi?id=2218384
https://vulert.com/vuln-db/CVE-2023-1907
https://advisories.gitlab.com/pkg/pypi/pgadmin4/CVE-2023-1907/
https://www.pgadmin.org/docs/pgadmin4/development/enabling_ldap_authentication.html
https://github.com/advisories/GHSA-7w6r-748w-mh52

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: