公開日:2025/08/18 最終更新日:2025/08/18

JVN#46919949
PgManageにおけるインジェクションの脆弱性

概要

Command Prompt, Inc.が提供するPgManageには、インジェクションの脆弱性が存在します。

影響を受けるシステム

  • PgManage 1.3.1より前のバージョン

詳細情報

Command Prompt, Inc.が提供するPgManageは、RestrictedPythonモジュールを使用しています。
PgManageが使用しているRestrictedPythonのバージョンには複数の脆弱性が存在しており、PgManageもその影響を受けますCWE-477

想定される影響

当該製品のユーザーが、Sandboxをエスケープし任意のコードを実行する可能性があります。

対策方法

アップデートする
開発者が提供する情報をもとに、PgManageを最新版へアップデートしてください。

PgManage 1.3.1では、RestrictedPythonモジュールをバージョン8.0に更新済みです。

ベンダ情報

ベンダ リンク
Command Prompt, Inc. Release 1.3.1 commandprompt/pgmanage

参考情報

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

謝辞

この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。
報告者:株式会社SecDevLab 中谷 翔 氏

JPCERT/CCが開発者に連絡した時点では開発者は当該製品のバージョン1.3をリリース済みでした。さらに調整を進め、製品利用者に対する最新の対策情報周知を目的とする本JVNの公表について合意いただきました。

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE
JVN iPedia JVNDB-2025-000060