CVE-2025-2945
题目描述:
PgAdmin4 代码注入漏洞(CVE-2025-2945),pgAdmin是pgAdmin开源的一个用于开源数据库 PostgreSQL 的开源管理和开发平台。pgadmin发布安全公告,其中公开披露了一个PgAdmin4中的代码注入漏洞,攻击者可以通过该漏洞注入恶意代码来获取服务器控制权限。
题目提示:
该漏洞存在于 pgAdmin 4 的查询工具和云部署模块中,攻击者可以利用两个POST接口(/sqleditor/ query_tool/download 和 /cloud/deploy)中的参数(query_commited 和 high_availability)传递给 Python 的 eval() 函数,而这些参数未经过适当的验证,从而允许攻击者在服务器上执行任意代码。
打开容器后会有两个端口:第一个端口为pgAdmin服务端口,第二个端口为pgsql 数据库端口, 为什么要启动一个数据库呢?研究一下漏洞原理就可知道
登录用户:secsnow@test.com
密码:secsnow
PGSQL数据库用户名和密码均为:postgres
