Możliwe jest wykonanie kodu!!!!
Zidentyfikowano dwie podatności w pgAdmin dla PostgreSQL, które dotyczą ataków typu cross-site scripting oraz bypassowania uwierzytelnienia wieloskładnikowego.
pgAdmin to narzędzie administracyjne i platforma deweloperska dla PostgreSQL, dostępne na zasadach open-source, oferujące wiele funkcji takich jak CI/CD, tryb serwera, dostosowywanie przestrzeni roboczej i wiele więcej.
pgAdmin obsługuje wiele platform, takich jak Linux, Unix, macOS i Windows. Jednakże te podatności zostały przypisane do numerów CVE-2024-4216 i CVE-2024-4215, z poziomem zagrożenia 7.4 (Wysoki).
Obie te podatności zostały naprawione w PostgreSQL.
Podatności Bezpieczeństwa PostgreSQL CVE-2024-4216: Podatność na Atak Typu Cross-Site Scripting. Ta podatność występuje w wersjach pgAdmin wcześniejszych niż 8.5, szczególnie wewnątrz odpowiedzi /settings/store API w formacie json.
Wykorzystanie tej podatności może umożliwić cyberprzestępcy wykonanie złośliwego skryptu po stronie klienta i kradzież wrażliwych ciasteczek.
Aby wykorzystać tę podatność, badacze użyli pośrednika typu man-in-the-middle (mitmproxy) i przechwycili żądanie POST do /settings/store, które jest wywoływane w celu takich operacji jak zmiana rozmiaru lewego paska menu.
Ciało żądania POST jest modyfikowane poprzez dodanie „… \ „children \ „: [{\ „id „: \ „+3 \ ’ -alert (’ XSS ’) – \ „…\ „ i wysyłane do serwera.
Serwer odpowiada wtedy tym złośliwym ładunkiem XSS, który jest wykonywany jako okno pop-up w przeglądarce klienta. CVE-2024-4215: Bypass Uwierzytelnienia Wieloskładnikowego. Ta podatność dotyczy wersji pgAdmin wcześniejszych niż 8.5, co może umożliwić cyberprzestępcy obejście uwierzytelnienia wieloskładnikowego w dotkniętych wersjach.
Aby wykorzystać tę podatność, cyberprzestępca musi mieć prawidłową nazwę użytkownika i hasło do uwierzytelnienia w aplikacji.
Po uwierzytelnieniu w aplikacji, cyberprzestępca może wykonywać dodatkowe czynności, takie jak zarządzanie plikami i wykonywanie zapytań SQL, niezależnie od statusu zapisu MFA.
Opiekunowie aplikacji naprawili obie te podatności, a niezbędne poprawki zostały wdrożone.
Użytkownikom pgAdmin dla PostgreSQL zaleca się aktualizację do wersji pgAdmin v4 8.6, aby zapobiec wykorzystaniu tych podatności przez cyberprzestępców.
Dawid Lis
Dawid Lis, Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa w firmie Advatech, to absolwent renomowanego Wydziału Elektroniki Politechniki Wrocławskiej. Jego pasja do cyberbezpieczeństwa rozpoczęła się w 2021 roku, kiedy to rozpoczął swoją profesjonalną karierę w tej dziedzinie.
Jako Inżynier ds. Wdrożeń Systemów Cyberbezpieczeństwa, Dawid kieruje się głównie audytami i testami, które mają na celu sprawdzenie oraz wzmocnienie zabezpieczeń systemów. Jego zaangażowanie w tę dziedzinę nie kończy się na środowisku zawodowym – aktywnie dzieli się swoją wiedzą i doświadczeniem na platformach społecznościowych, zachęcając zarówno osoby techniczne, jak i nietechniczne do podnoszenia świadomości w obszarze cyberbezpieczeństwa.
Dawidowi zależy na tym, aby przekazywać zdobytą wiedzę w sposób przystępny i atrakcyjny, aby zainteresować jak największą liczbę osób. Jego naczelną misją jest edukacja w świecie cyfrowym, który uważa za kluczowy obszar współczesnej rzeczywistości. Poza pracą zawodową, Dawid pasjonuje się rozwiązywaniem CTF-ów (Capture The Flag), widząc w nich zarówno wyzwanie, jak i fascynującą zabawę.
