9.9 分高危漏洞，尽快升级到 pgAdmin 4 v9.2 进行修复

本文链接：https://blog.csdn.net/breeze915/article/details/147143402

Vulnerability 3.jpg

pgAdmin 是一款面向 PostgreSQL 数据库的开源图形化管理工具，广泛应用于数据库管理、开发、维护和优化场景中。它不仅适用于企业级应用中对大型数据库的日常监控、备份恢复以及复杂 SQL 调试，也适合开发者在本地或云端（如 RDS for PostgreSQL）进行数据库设计、快速原型开发和权限管理。

pgAdmin 的发展历程经历了多次重大迭代：最初的 pgManager 为 PostgreSQL 提供了基本的图形管理界面，随后 pgAdmin I/II/III 逐步引入了更丰富的功能和更友好的用户界面，其中 pgAdmin III 就基于 C++ 和 wxWidgets 开发，提供了跨平台支持；而近年来推出的 pgAdmin 4 则采用了基于浏览器的架构（BS 架构），由 Python、Flask 及前端技术构成，大大提升了易用性和部署灵活性，新版本中不断加入了如内置 psql 工具、日志轮换、非管理员安装支持等现代功能，不仅满足了新手的入门需求，也为高级用户提供了高效的数据库管理体验。

漏洞概述

近日，银河哈希监控一个 pgAdmin 远程代码执行漏洞。

pgAdmin 4 存在远程代码执行安全漏洞，涉及 /sqleditor/query_tool/download（query_commited 参数）和 /cloud/deploy（high_availability 参数）2 个 POST 端点，相关参数不安全地传递给 Python eval() 函数，允许任意代码执行，此问题影响 pgAdmin 4 v9.2 之前的版本。

漏洞编号	CVE-2025-2945
漏洞类型	远程代码执行漏洞
漏洞评分	9.9
漏洞等级	高危
影响组件	pgAdmin
利用成熟度	POC已公开
利用难度	低
利用方式	远程

GitHub 定级 10 分漏洞

在 GitHub Advisory Database （GitHub 安全公告数据库）中，该漏洞被定级 10 分满分。

GitHub 安全公告数据库，是一个安全漏洞数据库，包含 CVE 和来自 GitHub 的开源软件安全公告。

漏洞测试

利用POC成功复现：

图片.png

解决方案

pgAdmin 官方已发布安全版本，修复版本为 pgAdmin 4 v9.2。请尽快更新到最新版本。

pgAdmin 4 v9.2 发版

2025 年 4 月 3 日，pgAdmin 4 v9.2 发版，修复了 24 个问题，并增加一些新特性。

可惜在 pgAdmin 的发版通告中，只是在末尾轻描淡写提了一句，并没有重点指出该漏洞的严重影响。

参考资料

https://github.com/pgadmin-org/pgadmin4/issues/8603
https://py0zz1.tistory.com/entry/Remote-Code-Execution-Vulnerability-in-pgAdmin-CVE-2025-2945
https://github.com/advisories/GHSA-g73c-fw68-pwx3
https://www.pgadmin.org/docs/pgadmin4/9.2/release_notes_9_2.html