一、基本情况
pgAdmin是一个用于管理和开发PostgreSQL数据库的开源图形化工具。
二、漏洞描述
CVE-2025-13780是pgAdmin 4中的一个远程命令执行漏洞。该漏洞出现在PLAIN恢复元命令过滤器中,该过滤器是为修复CVE-2025-12762而引入的。该过滤器未能正确识别以UTF-8字节顺序标记(EF BB BF)或其他特殊字节序列开头的SQL文件中的元命令。过滤器使用的has_meta_commands()函数通过正则表达式扫描原始字节,但未能将这些字节视为可忽略,从而导致元命令(如\\!)未被检测到。当pgAdmin通过psql file命令调用SQL文件时,psql会去除这些字节并执行其中的命令,从而可能导致远程命令执行。
三、影响范围
pgAdmin 4 < 9.11
四、修复建议
官方已发布修复补丁,以修复该漏洞。
pgAdmin 4 >= 9.11
