pgAdmin4にCVSS9.1のRCE脆弱性 緊急更新を推奨：セキュリティニュースアラート

pgAdmin4のサーバモードにおけるPLAIN形式ダンプのリストア処理に深刻なRCE脆弱性が確認されている。開発側は修正版9.10を公開し、早急な更新が求められる。

[後藤大地，ITmedia]

　PostgreSQL管理ツール「pgAdmin4」にサーバモード運用時のリストア処理に関連した深刻なリモートコード実行（RCE）脆弱（ぜいじゃく）性が確認されている。このセキュリティ脆弱性はCVE-2025-12762として追跡されており、影響範囲はバージョン9.9までとされている。開発側は同問題を修正したバージョン9.10を公開している。

サーバモードのpgAdmin4に任意コード実行の恐れ

　サーバモードで動作するpgAdmin4がPLAIN形式のダンプファイルをリストアする際、入力内容の扱いに不備が生じ、攻撃者が任意のコマンドを注入して実行できる状態となることが分かった。pgAdminが稼働するサーバで不正な操作が実行される危険が発生し、データベース管理環境および関連データの安全性が大きく損なわれる可能性がある。

　「GitHub Advisory Database」が提示した共通脆弱性評価システム（CVSS）v3.1のスコアは9.1とされ、深刻度は緊急（Critical）とされている。攻撃経路はネットワーク経由とされ、攻撃者側に要求される権限は低く、利用者側の操作も不要という。機密性への影響は高く、整合性および可用性にも一定の影響があるとされている。弱点の分類はCWE-94であり、信頼できない入力によるコードの生成や実行に起因する。

　問題が発生する条件は、サーバモード運用とPLAIN形式ダンプのリストア処理が組み合わさった環境とされている。PLAIN形式は広く利用されるバックアップ形式であり、環境によっては外部から提供されているダンプを扱う場合もあるため、該当機能を利用している管理者は影響範囲の確認が求められる。

　開発側は問題を修正したバージョン9.10を公開しており、旧バージョンを利用中の環境は速やかな更新が推奨される。サーバモード運用が一般的な構成において、外部との通信経路や認証設定を含む運用条件によってリスクの度合いが変動するため、利用者は自身の環境におけるリストア処理の実施状況や取り扱うダンプファイルの取得経路を確認し、不要なリストア操作を避ける対応も検討される。

　今回の脆弱性は、データベース管理ツールのリストア機能における入力扱いが適切に制御されない場合に重大な結果を招く事例といえる。pgAdmin4をサーバモードで使用している管理者は、バージョン9.10への更新を実施し、ダンプファイルの取り扱い手順を再確認することが望まれる。