一、漏洞簡述
研究人員發現 PostgreSQL 圖形化介面工具 pgAdmin 存在程式碼注入(Code Injection)漏洞(CVE-2025-13780)。
當系統處於伺服器模式(Server Mode)下,取得一般權限之遠端攻擊者可上傳特製惡意備份檔,當觸發 PLAIN 格式備份檔還原功能時,系統將解析該備份內容,進而於 pgAdmin 主機上執行任意程式碼。
此漏洞可導致伺服器遭遠端接管,請儘速完成修補。
二、設備/版本影響
- pgAdmin 9.10(含)以下版本
三、建議處置
更新pgAdmin至9.11(含)以上版本
四、相關連結