Se ha descubierto una vulnerabilidad crítica de ejecución remota de código (RCE) en pgAdmin4, la interfaz open source para bases de datos PostgreSQL. Identificada como CVE-2025-12762, afecta versiones hasta la 9.9 y permite a un atacante ejecutar comandos arbitrarios en el servidor mediante cargas maliciosas en formato PLAIN, comprometiendo la confidencialidad, integridad y disponibilidad de las infraestructuras. Requiere únicamente acceso de red y no interacción adicional del usuario.
CVE y severidad
| CVE | Severidad | CVSS v3.1 | Vector de ataque | Impacto |
|---|---|---|---|---|
| CVE-2025-12762 | Crítica | 9.3/10 | Red (Remote Network) | Alta confidencialidad; moderada integridad y disponibilidad |
Productos afectados
pgAdmin4, versiones hasta la 9.9 en modo servidor, comúnmente utilizadas en entornos empresariales para gestión y restauración de bases PostgreSQL.
Solución
Actualizar a pgAdmin 10.0 o superior.
Recomendaciones
Priorizar la actualización inmediata a la versión corregida para evitar explotación; deshabilitar restauraciones en formato PLAIN si no son necesarias y revisar controles de acceso para limitar usuarios con privilegios de carga. Implementar validación rigurosa de entradas en entornos DevOps que gestionen datos PostgreSQL.