CVE-2026-7815 in pgAdmin 4المعلومات

الملخص

بحسب VulDB • 15/05/2026

ثغرة حقن SQL في أداة صيانة pgAdmin 4.

تم دمج أربعة حقول JSON مقدمة من المستخدم (buffer_usage_limit، vacuum_parallel، vacuum_index_cleanup، reindex_tablespace) مباشرةً في أمر VACUUM/ANALYZE/REINDEX المُعاد إنتاجه، ثم تم تمريرها إلى psql --command. يمكن لمستخدم مُصادق عليه يمتلك إذن tools_maintenance الخروج من بناء الجملة للخيارات وتنفيذ SQL تعسفي على خادم PostgreSQL المتصل. يمكن لـ SQL المُحقن بدوره استدعاء COPY ... TO PROGRAM للتصعيد إلى تنفيذ أوامر على مستوى نظام التشغيل على مضيف قاعدة البيانات.

يُدخل الإصلاح قائمة سماح (allow-listing) من جانب الخادم لجميع الحقول الأربعة، ويحوّل reindex_tablespace من الاقتباس اليدوي إلى استخدام مرشح qtIdent.

تؤثر هذه المشكلة على pgAdmin 4: قبل الإصدار 9.15.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

PostgreSQL

حجز

04/05/2026

إفشاء

11/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362614

CPE

جاهز

CWE

CWE-89 (مؤكد)

CVSS

8.8 (CNA)

EPSS

0.00045

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7815
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7815
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7815/

التالي ▸نظرة عامة ◂ السابق

Might our Artificial Intelligence support you?

Check our Alexa App!