pgAdmin 信息泄露漏洞CVE-2024-9014安全预警

pgAdmin 是一款非常流行、功能强大且开源的PostgreSQL官方图形界面管理工具，是常用的数据库管理和开发工具。

作为集设计、维护和管理与一体的通用工具，pgAdmin 常用于连接、管理和维护PostgreSQL 、Greenplum等数据库。

一、基本情况

pgAdmin支持跨平台管理，支持Linux、Unix、Mac OS X以及Windows操作系统，可管理 PostgreSQL 9.2 及更高版本。

pgAdmin软件用C++编写，采用了优秀的 wxWidgets 跨平台工具包，在任意环境下pgAdmin III 都是一个本地化程序。

软件以二进制方式执行而区别于虚拟机模式，具有非常优秀性能，是针对 PostgreSQL 数据库的全面设计和管理接口。

二、漏洞描述

pgAdmin 近日修复一个 OAuth2 client ID与secret敏感信息泄漏漏洞，漏洞被标记为CVE-2024-9014，CVSS评分9.9。

pgAdmin 8.11及之前版本的 OAuth2 身份验证实现中存在漏洞，可能会导致OAuth2客户端ID和密钥被暴露或者泄露。

攻击者能够利用该漏洞，在 web 浏览器中获取到敏感信息，并且还可以在未经授权访问的情况下获取到用户的数据。

建议受影响用户做好资产自查和预防工作，及时修复漏洞，避免黑客攻击导致不必要的数据泄露和可能的钓鱼攻击。

三、影响范围

pgAdmin 4 <= v8.11

四、修复建议

目前该漏洞已经修复，受影响用户需升级到 pgAdmin 4 v8.12 或更高版本。

五、 参考链接

https://nvd.nist.gov/vuln/detail/CVE-2024-9014

https://www.pgadmin.org/docs/pgadmin4/8.12/release_notes_8_12.html