Aviso de seguridad
Nivel de peligrosidad: Alto
Descripción
El problema se presenta en pgAdmin versiones hasta la 9.10 cuando se ejecuta en modo servidor y se realiza una restauración desde un archivo de volcado en formato PLAIN. Un atacante con acceso adecuado puede aprovechar la falla para inyectar comandos maliciosos que serán ejecutados directamente por el sistema operativo del servidor, comprometiendo la integridad y seguridad del sistema de gestión de bases de datos.
Recursos afectados
pgAdmin 4 – versiones hasta 9.10 ejecutadas en modo servidor.
La vulnerabilidad no está limitada a un sistema operativo específico, siempre que el software vulnerable se encuentre en modo servidor.
Solución
Actualizar pgAdmin 4 a la versión latest/>= 9.11 (o superior) que contiene las correcciones para esta falla de seguridad.
Según el repositorio oficial, el problema ha sido abordado en versiones posteriores a la 9.10.
Recomendaciones
- Aplicar la actualización de pgAdmin 4 a la versión segura (>= 9.11).
- Restringir el acceso a la funcionalidad de restauración solo a usuarios de confianza.
- Monitorear logs del servidor en busca de actividades inusuales relacionadas con restauraciones de volcado.
- Implementar controles de acceso y segmentación de red para limitar la exposición del servicio.
Referencias