DB管理ツール「pgAdmin4」に複数脆弱性 - 重要度「クリティカル」も

データベース「PostgreSQL」向けの管理ツール「pgAdmin4」に複数の脆弱性が明らかとなった。開発チームは、セキュリティアップデートを提供している。

現地時間2025年11月13日に「pgAdmin4 9.10」をリリースしたもので、機能の追加やバグの修正のほか、CVEベースで4件の脆弱性に対応した。

「CVE-2025-12762」は、PLAIN形式のダンプファイルをリストアする際、任意のコマンドを実行されるおそれがある脆弱性。脆弱性の悪用には権限が必要とされるが、「pgAdmin」が動作する権限でコマンドを実行することが可能となる。

共通脆弱性評価システム「CVSSv3.1」のベーススコアは「9.1」と評価されており、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

また「LDAP」においてユーザー名を細工することでサービス拒否を引き起こすことが可能となるLDAPインジェクションの脆弱性「CVE-2025-12764」や、LDAP認証においてTLS証明書の検証をバイパスできる脆弱性「CVE-2025-12765」が判明した。

いずれもCVSS基本値は「7.5」、重要度は「高（High）」と評価されている。さらにWindows環境に影響がある重要度「中（Medium）」の脆弱性「CVE-2025-12763」が明らかとなっている。

（Security NEXT - 2025/11/14 ）ツイート