CVE-2026-7819 in pgAdmin 4información

Resumen

por VulDB • 2026-05-11

Travesía de ruta mediante enlaces simbólicos (CWE-61, CWE-22) en el Administrador de archivos de pgAdmin 4.

La función `check_access_permission` utilizaba `os.path.abspath`, que resuelve `'..'` pero no resuelve los enlaces simbólicos, mientras que la posterior escritura del kernel sigue los enlaces simbólicos. Un usuario autenticado podría colocar un enlace simbólico dentro de su propio directorio de almacenamiento que apunte fuera de él e inducir a pgAdmin a escribir en cualquier ruta accesible por el proceso de pgAdmin.

La corrección cambia la comprobación de acceso a `os.path.realpath` tanto para el origen como para el destino, y añade un auxiliar `_open_upload_target` que abre el destino con `O_NOFOLLOW` (modo 0o600) para cerrar la condición de carrera TOCTOU entre la comprobación de acceso y la apertura. El modo de archivo se endurece de 0o644 a 0o600.

Este problema afecta a pgAdmin 4: antes de la versión 9.15.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

PostgreSQL

Reservar

2026-05-04

Divulgación

2026-05-11

Moderación

aceptado

Artículo

VDB-362628

CPE

listo

EPSS

0.00045

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7819
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7819
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7819/

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!