PT-2024-5169 · Pgadmin+2 · Pgadmin+2

Felixtoe

·

Publicado

2024-03-14

·

Atualizado

2025-04-17

·

CVE-2024-4216

CVSS v3.1

7.4

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
Nome do software vulnerável e versões afetadas:
Versões do pgAdmin <= 8.5
Descrição:
O problema está relacionado a uma vulnerabilidade de script entre sites (XSS) na carga JSON da resposta da API /settings/store. Essa vulnerabilidade permite que invasores executem scripts maliciosos no lado do cliente, o que pode levar a um invasor remoto a realizar um ataque de script entre sites.
Recomendações:
Para versões do pgAdmin <= 8.5, como solução temporária, considere desativar o acesso ao endpoint da API /settings/store até que uma correção esteja disponível. Restrinja o uso da carga JSON na resposta da API /settings/store para minimizar o risco de exploração.

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

BDU:2024-05720
CVE-2024-4216
GHSA-XV64-8P4R-94GQ
OPENSUSE-SU-2024:14052-1
OPENSUSE-SU-2024_2260-1
OPENSUSE-SU-2024_3552-1
SUSE-SU-2024:2260-1
SUSE-SU-2024:3552-1
SUSE-SU-2024_3552-1

Produtos afetados

Pgadmin
Red Os
Suse