Cross-Site Scripting-Schwachstelle in pgAdmin entdeckt

Eine hochriskante Sicherheitslücke wurde in der beliebten Datenbankverwaltungssoftware pgAdmin4 identifiziert. Die Schwachstelle, gekennzeichnet unter der CVE-Nummer CVE-2024-4216, betrifft alle Versionen bis einschließlich 8.5 und wurde kürzlich in der /settings/store API entdeckt, wo sie Angreifern ermöglicht, schädliche Skripte auf dem Client auszuführen.

Die Cross-Site Scripting (XSS)-Anfälligkeit liegt in der Art und Weise, wie die API-Antworten im JSON-Format verarbeitet werden. Angreifer könnten durch speziell gestaltete Anfragen schädlichen Code einschleusen, der beim Öffnen der betreffenden Antwort durch einen Nutzer ausgeführt wird. Dies kann zu unerwünschten Effekten führen, wie etwa dem Diebstahl von Browserdaten oder Sitzungsinformationen.

Die Schwachstelle wurde mit einem CVSS-Score von 7.4 als “hoch” eingestuft, wobei die Netzwerkangriffsvektoren aufgrund der geringen Komplexität und der niedrigen Privilegienanforderung die Schwachstelle leicht ausnutzbar machen.

Entwickler des pgAdmin4-Projekts haben bereits reagiert und eine neue Version 8.6 veröffentlicht, die diesen Fehler behebt. Anwender werden dringend aufgefordert, ihre Installationen auf die neueste Version zu aktualisieren, um sich vor möglichen Angriffen zu schützen.

Die Details dieser Sicherheitslücke wurden vor vier Tagen erstmals in der GitHub Advisory Database veröffentlicht.

Related Posts

Studie: Jedes fünfte Dockerhub Repository Malware verseucht

Sicherheitsforscher von JFrog haben in Zusammenarbeit mit Docker eine großangelegte Malware-Kampagne aufgedeckt, die Millionen von schädlichen Repositories auf Docker Hub platziert hat. Diese Entdeckung betrifft eine Plattform, die weltweit von Entwicklern genutzt wird, um Docker-Images zu verteilen und zu verwalten.

Read More

Sicherheitslücke im SCADA Data Gateway von Triangle MicroWorks erlaubt Systemübernahme

Eine Sicherheitslücke im SCADA Data Gateway von Triangle MicroWorks ermöglicht es Angreifern, die Authentifizierung zu umgehen und beliebigen Code als Root auszuführen. Die Schwachstelle, identifiziert als CVE-2023-39457, erfordert keine Authentifizierung für die Ausnutzung und wurde mit einem CVSS-Score von 9.8 / 10 bewertet.

Read More

SQL Injection Schwachstelle in PostgreSQL Java Treiber pgjdbc

Eine schwerwiegende Sicherheitslücke wurde im PostgreSQL JDBC-Treiber (pgjdbc) identifiziert, die eine SQL-Injection ermöglicht. Die Schwachstelle, bekannt unter der CVE-ID CVE-2024-1597, betrifft mehrere Versionen des Treibers und wurde als kritisch mit einem CVSS-Score von 10.0 / 10.0 eingestuft.

Read More