CVE-2024-9014 (CVSS 9.9): pgAdmin’s Critical Vulnerability Puts User Data at Risk
2024/09/24 SecurityOnline — PostgreSQL データベースにおける主要 OSS 管理ツールである、pgAdmin に影響を及ぼす深刻な脆弱性に対処する、緊急セキュリティ・アップデートがリリースされた。この脆弱性 CVE-2024-9014 (CVSS:9.9) の悪用に攻撃者は、OAuth2 認証メカニズムを介してユーザー・データを侵害する可能性を手にする。
この脆弱性は pgAdmin バージョン 8.11 以下の OAuth2 認証実装内に存在し、クライアント ID やシークレットなどの機密ユーザー情報への不正にアクセスを、攻撃者に許してしまう可能性を持つ。これらの資格情報は、セキュアな OAuth2 認証において不可欠であるが、それらが公開されてしまうと深刻なデータ侵害が発生し、さらなるシステム侵害につながる可能性が生じる。
この脆弱性の重大性と、データ・セキュリティへの潜在的な影響を懸念する pgAdmin 開発チームが、すべてのユーザーに対して強く推奨するのは、最新バージョンの pgAdmin 4 バージョン 8.12 へと、可能な限り早急にアップデートすることだ。
このリリースでは、上記の OAuth2 欠陥が修正されるだけではなく、13 個の追加のバグ修正と、新機能も組み込まれているため、プラットフォームの全体的な安定性と機能性がさらに強化される。
pgAdmin バージョン 8.11 以下を使用している場合には、バージョン 8.12 へとアップグレードすることが極めて重要になる。この更新により、PostgreSQL 環境は、脆弱性 CVE-2024-9014 の悪用から保護される。
pgAdmin バージョン 8.11 以下の OAuth2 認証に、かなり深刻な脆弱性です。ご利用のチームは、十分に ご注意ください。よろしければ、pgAdmin で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.