CVE-2026-12049
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Podatność typu open redirect w mechanizmie uwierzytelniania wieloskładnikowego (MFA) pgAdmin 4. Punkty końcowe walidacji i rejestracji MFA honorowały dostarczony przez użytkownika parametr 'next' bez weryfikacji, czy cel wskazuje z powrotem na pgAdmin, co umożliwiało przekierowanie uwierzytelnionego użytkownika na zewnętrzną, złośliwą stronę.
Ocena ryzyka
Ryzyko polega na ułatwieniu ataków phishingowych – atakujący może wykorzystać pgAdmin jako 'pralnię' URL, zwiększając skuteczność wyłudzania danych uwierzytelniających od ofiary. Podatność nie pozwala na bezpośredni dostęp do pgAdmin ani bazy danych.
Rekomendacja
Niezwłocznie zaktualizuj pgAdmin 4 do wersji 9.16 lub nowszej, która zawiera funkcję pomocniczą _is_safe_redirect_url sprawdzającą, czy przekierowanie prowadzi do tej samej domeny.
Oryginalny opis (angielski, źródło NVD)
Open redirect in pgAdmin 4's multi-factor authentication flow. The MFA validate and register endpoints honoured the user-supplied 'next' query/form parameter without confirming the target pointed back inside pgAdmin, so an authenticated victim who clicked /mfa/validate?next=<external> -- a link typically delivered by phishing -- would be sent to an attacker-controlled host directly out of the trusted auth flow. The defect is a trusted-domain redirect, not a privilege bypass: the attacker gains no read/write access to pgAdmin or the victim's database, but the redirect launders the attacker's destination through pgAdmin's URL, which raises the success rate of credential-phishing follow-on against the victim. Fix introduces a same-origin _is_safe_redirect_url helper and gates every MFA redirect that consumes user-supplied 'next' values through it. The helper allows only relative paths and absolute URLs whose scheme is http(s) and whose host matches the current request host; it rejects external hosts in absolute and protocol-relative form, non-http schemes (javascript:, data:, mailto:), userinfo tricks (http://localhost@attacker/), and backslash variants that some browsers normalize to forward slashes. Unsafe targets fall back to the internal browser index. A dedicated regression test exercises each accept/reject category and the original reporter PoC. This issue affects pgAdmin 4: from 6.0 before 9.16.

