2024年9月27日,网上更新披露了pgAdmin4 OAuth2 client ID与secret敏感信息泄漏漏洞(CVE-2024-9014)。
pgAdmin4 是开源数据库 PostgreSQL 的图形管理工具,以便于管理和维护PostgreSQL数据库。
漏洞风险:pgAdmin 8.11及之前版本的OAuth2身份验证实现中存在漏洞,攻击者可构造恶意请求获取客户端ID和密钥,从而导致未经授权访问其他用户数据。
风险等级:高风险
影响范围:pgAdmin 4 <= v8.11
修复方案:
官方已发布安全更新,建议升级至最新版本。
进行安全更新方法:
https://github.com/pgadmin-org/pgadmin4/issues/7945
