CVE-2026-7813 in pgAdmin 4information

Résumé

par VulDB • 20/05/2026

Vulnérabilité d'autorisation dans le mode serveur de pgAdmin 4 affectant les modules Groupes de serveurs, Serveurs, Serveurs partagés, Processus en arrière-plan et Débogueur.

Plusieurs points de terminaison récupéraient des objets appartenant à un utilisateur sans filtrer en fonction de l'identité de l'utilisateur demandeur. Un utilisateur authentifié pouvait accéder aux serveurs privés, aux groupes de serveurs, aux processus en arrière-plan et aux arguments de fonction du débogueur d'un autre utilisateur en devinant les identifiants d'objet (IDs).

De plus, la fonctionnalité Serveurs partagés présentait plusieurs problèmes, notamment une fuite d'informations d'identification (passexec_cmd, passfile, clés SSL), une élévation de privilèges via un passexec_cmd modifiable (une commande shell exécutée lors de l'établissement de la connexion) permettant l'exécution de commandes arbitraires dans le contexte du processus du propriétaire, et une corruption des données du propriétaire via des mutations de session SQLAlchemy. Plusieurs champs réservés au propriétaire (passexec_cmd, passexec_expiration, db_res, db_res_type) étaient modifiables par des non-propriétaires via l'API, et des champs supplémentaires (kerberos_conn, tags, post_connection_sql) ne disposaient pas de persistance par utilisateur, de sorte que les modifications effectuées par des non-propriétaires altéraient l'enregistrement du propriétaire.

La correction centralise le contrôle d'accès via un nouveau module server_access, applique un UserScopedMixin à tous les modèles appartenant à un utilisateur, renvoie un code HTTP 410 depuis connection_manager lorsque l'accès est refusé en mode serveur, masque les champs réservés au propriétaire pour les non-propriétaires à travers les chemins de fusion / réponse API / ServerManager, et ajoute une garde explicite en écriture réservée au propriétaire. La correction a été intégrée via deux pull requests ; les deux sont référencées.

Ce problème affecte pgAdmin 4 : avant la version 9.15.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

PostgreSQL

Réserver

04/05/2026

Divulgation

11/05/2026

Modérer

accepté

Entrée

VDB-362638

CPE

prêt

EPSS

0.00060

KEV

non

Activités

très faible

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-7813
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-7813
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-7813/

PrécédentAperçuSuivant

Want to stay up to date on a daily basis?

Enable the mail alert feature now!