Krytyczna luka XSS w pgAdmin 4 umożliwiająca ataki phishingowe
Krytyczna luka XSS w pgAdmin 4 pozwala na ataki phishingowe i przejęcie sesji. Zalecana aktualizacja do wersji 9.16 lub wyższej.
- CVSS
- 9.3 CRITICAL
- EPSS
- 11.24%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- pgadmin 4
Co wiadomo
W pgAdmin 4 wykryto krytyczną lukę typu stored cross-site scripting (XSS) w mechanizmach renderowania błędów i planów zapytań. Atakujący mogą wstrzyknąć złośliwy kod HTML, w tym iframe, który może przekierować użytkownika do fałszywej strony phishingowej w kontekście aplikacji.
Wpływ biznesowy
Luka ta pozwala na wykonanie złośliwego kodu w interfejsie pgAdmin 4, co może prowadzić do przejęcia sesji użytkownika lub wyłudzenia danych poprzez fałszywe okna dialogowe. Wpływa to na bezpieczeństwo administratorów baz danych i może skutkować poważnymi naruszeniami danych oraz utratą zaufania do systemu zarządzania bazą danych.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie pgAdmin 4 do wersji 9.16 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do pgAdmin oraz monitorować logi pod kątem podejrzanych aktywności. Dodatkowo warto przeprowadzić przegląd uprawnień użytkowników i stosować zasady minimalnych uprawnień.