【要点】

◎pgAdmin4のリストア処理にRCE脆弱性が再び判明し、細工したダンプで任意コード実行の恐れがあるため最新版への更新が必須となった。

【要約】

PostgreSQL管理ツールpgAdmin4に、PLAIN形式ダンプのリストア処理を悪用して任意コード実行が可能となる深刻な脆弱性CVE-2025-13780が確認された。細工されたダンプを復元するとコマンドインジェクションが発生する恐れがあり、CVSSv3.1は9.1のCritical評価である。開発チームは2025年12月11日にpgAdmin4 9.11をリリースし本問題を修正した。前月にも別のRCE脆弱性が修正されており、利用者には最新版への速やかな更新とリストア運用の見直しが強く求められている。

【ニュース】

◆「pgAdmin4」リストア処理にRCE脆弱性 - 2カ月連続で判明 (Security NEXT, 2015/12/12)
https://www.security-next.com/178323