Vulnerabilidades Críticas en pgAdmin 4

pgAdmin 4 es una herramienta ampliamente utilizada para la administración de bases de datos PostgreSQL, proporcionando una interfaz gráfica para gestionar y operar bases de datos. Recientemente, se han identificado dos vulnerabilidades críticas que podrían comprometer seriamente la seguridad de los sistemas afectados.

• CVE-2025-2945 (CVSS 9.9): Esta vulnerabilidad reside en los módulos Query Tool y Cloud Deployment de pgAdmin 4. El problema surge debido al manejo inseguro de parámetros proporcionados por el usuario en dos endpoints POST: /sqleditor/query_tool/download, donde el parámetro query_commited, /cloud/deploy, high_availability, son pasados sin la debida validación a la función eval() de Python. Esto permite que un atacante autenticado ejecute código arbitrario en el servidor, lo que podría llevar a una toma de control completa del sistema.

• CVE-2025-2946 (CVSS 9.1): Esta vulnerabilidad se encuentra en la representación de resultados de consultas en pgAdmin 4. La aplicación no analiza adecuadamente los resultados de las consultas, permitiendo la ejecución de scripts maliciosos incrustados en los datos. Un atacante podría explotar esta falla para realizar ataques de Cross-Site Scripting (XSS), lo que podría resultar en el robo de información sensible o en la manipulación de sesiones de usuario.

Productos y versiones afectadas:

• pgAdmin 4 versiones anteriores a 9.2.

Solución

• Actualizar pgAdmin 4 a la versión 9.2 o posterior.

Recomendaciones:

• Actualizar inmediatamente pgAdmin 4 a la versión 9.2 o posterior para mitigar las vulnerabilidades identificadas.​

• Implementar prácticas robustas de validación y sanitización de entradas para asegurar que todos los datos proporcionados por el usuario sean adecuadamente manejados antes de ser procesados o mostrados.​

• Evitar el uso de funciones de ejecución de código dinámico como eval(); si su uso es necesario, asegurar que las entradas estén estrictamente controladas y validadas.​

• Educar a los usuarios sobre los riesgos asociados con ataques XSS y fomentar la precaución al interactuar con datos de la base de datos que podrían contener scripts maliciosos.

Referencias:

• https://securityonline.info/pgadmin-4-vulnerabilities-expose-databases-to-remote-code-execution-and-xss/
• https://github.com/pgadmin-org/pgadmin4/issues/8603
• https://github.com/pgadmin-org/pgadmin4/issues/8602
• https://www.cve.org/CVERecord?id=CVE-2025-2945
• https://www.cve.org/CVERecord?id=CVE-2025-2946
• https://www.tenable.com/cve/CVE-2025-2945
• https://www.tenable.com/cve/CVE-2025-2946