PT-2024-2008 · Pgadmin+2 · Pgadmin+2
Abdel Adim Oisfi
+3
·
Publicado
2024-03-07
·
Atualizado
2024-09-19
·
CVE-2024-2044
CVSS v3.1
9.9
Crítica
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do pgAdmin anteriores à 8.4
Descrição
O problema está relacionado a uma vulnerabilidade de traversal de caminho no código de gerenciamento de sessões do pgAdmin, o que pode levar à deserialização insegura e à execução remota de código. Essa vulnerabilidade pode ser explorada por um invasor não autenticado no Windows ou por um invasor autenticado em sistemas POSIX/Linux, permitindo que eles obtenham execução de código. A vulnerabilidade está associada à serialização incorreta do arquivo de cookie
pga4 session.Recomendações
Para versões do pgAdmin anteriores à 8.4, atualize para a versão 8.4 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o acesso ao código de gerenciamento de sessão para minimizar o risco de exploração.
Evite usar o arquivo de cookie
pga4 session até que o problema seja resolvido.No momento, não há outras informações sobre medidas de mitigação adicionais.
Exploit
Correção
Path traversal
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Pgadmin
Red Os
Suse