CVE-2026-25212
CriticalSummary
W wersjach Percona PMM przed 3.7 odkryto problem związany z wewnętrznym użytkownikiem bazy danych, który posiada określone uprawnienia superużytkownika. Atakujący z prawami pmm-admin może wykorzystać funkcję 'Dodaj źródło danych', aby wydostać się z kontekstu bazy danych i wykonać polecenia powłoki w systemie operacyjnym.
Risk Assessment
Organizacja jest narażona na ryzyko nieautoryzowanego dostępu do systemu operacyjnego, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Wykorzystanie tej podatności może umożliwić atakującemu pełną kontrolę nad systemem.
Recommendation
Zaleca się aktualizację Percona PMM do wersji 3.7 lub nowszej, aby usunąć tę podatność. Należy również ograniczyć dostęp do konta pmm-admin tylko do zaufanych użytkowników.
Original NVD description (English source)
An issue was discovered in Percona PMM before 3.7. Because an internal database user retains specific superuser privileges, an attacker with pmm-admin rights can abuse the "Add data source" feature to break out of the database context and execute shell commands on the underlying operating system.

