CVE-2026-7819 in pgAdmin 4info

Zusammenfassung

von VulDB • 20.05.2026

Symbolic-Link-Pfadtraversal (CWE-61, CWE-22) im pgAdmin 4 File Manager.

Die Funktion `check_access_permission` verwendet `os.path.abspath`, das `..` auflöst, aber keine symbolischen Links auflöst, während der nachfolgende Kernel-Write symbolischen Links folgt. Ein authentifizierter Benutzer könnte einen symbolischen Link in seinem eigenen Speicherordner platzieren, der außerhalb dieses Ordners zeigt, und pgAdmin dazu bringen, in jeden Pfad zu schreiben, der vom pgAdmin-Prozess erreichbar ist.

Die Korrektur wechselt die Zugriffskontrolle zu `os.path.realpath` für sowohl Quelle als auch Ziel und fügt eine Hilfsfunktion `_open_upload_target` hinzu, die das Ziel mit `O_NOFOLLOW` (Modus 0o600) öffnet, um die TOCTOU-Lücke (Time-of-Check to Time-of-Use) zwischen der Zugriffskontrolle und dem Öffnen der letzten Pfadkomponente zu schließen. Der Dateimodus wird von 0o644 auf 0o600 gehärtet.

Dieses Problem betrifft pgAdmin 4: vor Version 9.15.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

PostgreSQL

Reservieren

04.05.2026

Veröffentlichung

11.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362628

CPE

bereit

CWE

CWE-367 (bestätigt)

CVSS

8.1 (CNA)

EPSS

0.00045

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7819
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7819
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7819/

◂ Zurück Übersicht Weiter ▸

Do you know our Splunk app?

Download it now for free!