Eine hochriskante Sicherheitslücke wurde in der beliebten Datenbankverwaltungssoftware pgAdmin4 identifiziert. Die Schwachstelle, gekennzeichnet unter der CVE-Nummer CVE-2024-4216, betrifft alle Versionen bis einschließlich 8.5 und wurde kürzlich in der /settings/store API entdeckt, wo sie Angreifern ermöglicht, schädliche Skripte auf dem Client auszuführen.
Die Cross-Site Scripting (XSS)-Anfälligkeit liegt in der Art und Weise, wie die API-Antworten im JSON-Format verarbeitet werden. Angreifer könnten durch speziell gestaltete Anfragen schädlichen Code einschleusen, der beim Öffnen der betreffenden Antwort durch einen Nutzer ausgeführt wird. Dies kann zu unerwünschten Effekten führen, wie etwa dem Diebstahl von Browserdaten oder Sitzungsinformationen.
Die Schwachstelle wurde mit einem CVSS-Score von 7.4 als „hoch“ eingestuft, wobei die Netzwerkangriffsvektoren aufgrund der geringen Komplexität und der niedrigen Privilegienanforderung die Schwachstelle leicht ausnutzbar machen.
Entwickler des pgAdmin4-Projekts haben bereits reagiert und eine neue Version 8.6 veröffentlicht, die diesen Fehler behebt. Anwender werden dringend aufgefordert, ihre Installationen auf die neueste Version zu aktualisieren, um sich vor möglichen Angriffen zu schützen.
Die Details dieser Sicherheitslücke wurden vor vier Tagen erstmals in der GitHub Advisory Database veröffentlicht.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: