CVE-2026-7816 in pgAdmin 4Информация

Сводка

по VulDB • 28.05.2026

Уязвимость внедрения команд операционной системы (CWE-78) в функции экспорта запросов pgAdmin 4 Import/Export.

Пользовательские данные напрямую интерполировались в шаблон метacommand psql \copy без предварительной очистки. Аутентифицированный пользователь мог внедрить ") TO PROGRAM 'cmd'" для выхода из контекста \copy (...) и выполнения произвольных команд на сервере pgAdmin, либо ") TO '/path'" для произвольной записи в файл. Дополнительные поля (format, on_error, log_verbosity) также подвергались прямой интерполяции и были уязвимы для эксплуатации.

Исправление добавляет парсер баланса скобок, основанный на токенизаторе strtokx psql, использует allow-list для format/on_error/log_verbosity, отбрасывает нулевые байты в запросе, а также ужесточает проверки типов и условий доступа.

Эта проблема затрагивает pgAdmin 4: версии до 9.15.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

PostgreSQL

Резервировать

04.05.2026

Раскрытие

11.05.2026

Модерация

принято

Вход

VDB-362635

CPE

готов

CWE

CWE-78 (Подтверждённый)

CVSS

8.8 (CNA)

EPSS

0.00125

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-7816
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-7816
CVE Details	https://www.cvedetails.com/cve/CVE-2026-7816/

◂ Предыдущий Обзор Далее ▸

Interested in the pricing of exploits?

See the underground prices here!