Origine : bjCSIRT
Numéro : 2025/ALERTE/076
Date de l’alerte : 18/12/2025
APERÇU :
Une vulnérabilité critique affectant pgAdmin permettrait à un acteur malveillant authentifié d’exécuter du code à distance dans les systèmes affectés.
DESCRIPTION :
pgAdmin est un outil de gestion et d’administration des bases de données PostgreSQL, fournissant une interface graphique intuitive pour créer, modifier et superviser les bases de données. Il permet aux développeurs et administrateurs de gérer efficacement les objets, d’exécuter des requêtes SQL, et de gérer les rôles, les permissions et les accès aux bases de données.
Cet outil est affecté par une vulnérabilité critique libellée CVE-2025-13780 permettant à un acteur malveillant disposant d’un accès authentifié d’exécuter du code arbitraire sur les systèmes affectés. Cette vulnérabilité résulte d’une mauvaise validation du contenu des fichiers de sauvegarde au format SQL PLAIN lors de la restauration d’une base de données, conduisant ainsi à l’exécution de commandes arbitraire sur le système affecté.
Elle est classée critique avec un score de sévérité de 9.1 selon le CVSS V3.1.
IMPACT :
- Exécution de code à distance ;
- Compromission de l’intégrité du système ;
- Atteinte à la confidentialité des données ;
- Atteinte à la disponibilité.
SYSTÈMES AFFECTÉS :
La version 9.10 de pgAdmin 4 et les versions antérieures.
MESURES À PRENDRE :
Mettre à jour pgAdmin vers les dernières versions stables disponibles.
RÉFÉRENCES :
