Новая обнаруженная уязвимость в pgAdmin4, популярном инструменте с открытым исходным кодом для управления базами данных PostgreSQL, вызвала серьезную озабоченность среди разработчиков и администраторов баз данных по всему миру. Уязвимость, получившая идентификатор CVE-2025-9636, была недавно опубликована в базе рекомендаций по безопасности GitHub и классифицирована как имеющая высокий уровень опасности.
Детали уязвимости
Проблема заключается в уязвимости политики Cross-Origin Opener Policy (COOP), которая затрагивает версии pgAdmin вплоть до 9.7. Злоумышленники могут использовать эту уязвимость в процессе аутентификации и OAuth-потока, что потенциально позволяет получить несанкционированный доступ к учетным записям, захватить сессии и даже полностью взять под контроль аккаунт. Подобная эксплуатация уязвимости может привести к компрометации конфиденциальных данных, повышению привилегий пользователей и облегчить проведение дальнейших кибератак на связанные системы.
Согласно рекомендациям, для успешной атаки требуется некоторое взаимодействие с пользователем, но риск остается значительным из-за центральной роли, которую pgAdmin играет в управлении окружениями PostgreSQL. Манипулируя заголовками COOP, злоумышленники могут обходить стандартные защиты браузера, тем самым обманывая процесс аутентификации и получая доступ для неавторизованных пользователей.
Последствия успешной эксплуатации могут быть широкомасштабными. Администраторы часто используют pgAdmin для выполнения критических задач, таких как конфигурация баз данных, управление запросами и операции резервного копирования. Несанкционированный доступ может привести к краже данных, повреждению информации или полному захвату чувствительной инфраструктуры баз данных.
Система оценки CVSS v3.1 указывает на серьезное влияние на конфиденциальность и целостность, отражая возможность утечки данных и несанкционированных изменений. Хотя доступность затрагивается лишь умеренно, нарушение доверенного доступа и надежности системы представляет значительную проблему для организаций.
Команда разработчиков pgAdmin оперативно решила проблему. Уже выпущена исправленная версия 9.8 для снижения риска. Пользователям и организациям, использующим pgAdmin, настоятельно рекомендуется немедленно обновиться. Кроме того, администраторам следует проверить текущие сессии, проаудировать логи доступа и рассмотреть возможность смены учетных данных на случай, если несанкционированный доступ уже произошел.
Исследователи в области безопасности подчеркивают, что хотя сложность атаки относительно высока, организациям не следует недооценивать потенциал целевых или спонсируемых государством злоумышленников, которые способны проводить подобные эксплуатации. Поддержание обновленной среды и мониторинг активности в логах остаются лучшими средствами защиты от этого класса уязвимостей.
По мере того как все больше организаций переводит бизнес-критические приложения на PostgreSQL, роль pgAdmin продолжает расти. Эта вновь обнаруженная уязвимость подчеркивает важность своевременного применения патчей безопасности и поддержания бдительности против угроз, связанных с аутентификацией. Организации, которые не применяют исправление, рискуют подвергнуть свои системы атакам со стороны злоумышленников, способных обходить границы доверия и получать доступ к конфиденциальной информации.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-9636
- https://nvd.nist.gov/vuln/detail/CVE-2025-9636
- https://github.com/pgadmin-org/pgadmin4/issues/9114
