pgadmin validate_binary_path 远程命令执行漏洞(CVE-2022-4223)

渗透技巧 2个月前 admin
182 0 0

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!


pgadmin validate_binary_path 远程命令执行漏洞(CVE-2022-4223)
pgadmin validate_binary_path 远程命令执行漏洞(CVE-2022-4223)

漏洞预警

pgadmin validate_binary_path 远程命令执行漏洞(CVE-2022-4223)
pgadmin validate_binary_path 远程命令执行漏洞(CVE-2022-4223)

01

漏洞描述


披露时间:2022年12月05日

情报来源:https://www.pgadmin.org/docs/pgadmin4/6.17/release_notes_6_17.html


pgAdmin 4是一款专门针对PostgreSQL数据库的客户端管理软件,该版本在pgAdmin 3的基础上做了较大的架构变化,由之前的CS架构变更为基于浏览器的BS架构。CVE-2022-4223 中,在window环境下,攻击者可构造恶意请求使pgAdmin访问恶意的UNC地址,从而执行任意命令。

pgadmin validate_binary_path 远程命令执行漏洞(CVE-2022-4223)


02

影响范围


pgAdmin for Windows < v6.17


03

漏洞详情


https://frycos.github.io/vulns4free/2022/12/02/rce-in-20-minutes.html


04

漏洞POC


POC首发圈子,圈子66.6一次进入永久免费

pgadmin validate_binary_path 远程命令执行漏洞(CVE-2022-4223)



05

加固建议


目前官方已发布安全版本修复此漏洞,建议受影响的用户及时升级防护:

https://www.pgadmin.org/download/

pgadmin validate_binary_path 远程命令执行漏洞(CVE-2022-4223)

原文始发于微信公众号(夜组安全):pgadmin validate_binary_path 远程命令执行漏洞(CVE-2022-4223)

版权声明:admin 发表于 2022年12月9日 上午8:01。
转载请注明:pgadmin validate_binary_path 远程命令执行漏洞(CVE-2022-4223) | CTF导航

相关文章

暂无评论

暂无评论...