CVE-2026-12050
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Podatność SQL injection w pgAdmin 4 w punkcie końcowym nazwanego punktu przywracania (POST /browser/server/restore_point/{gid}/{sid}). Wartość dostarczona przez użytkownika w polu 'value' była bezpośrednio interpolowana do zapytania SQL za pomocą str.format() zamiast przekazana jako parametr związany, co pozwalało uwierzytelnionemu użytkownikowi pgAdmin z aktywną sesją PostgreSQL na wstrzyknięcie dodatkowych instrukcji przez ten punkt końcowy.
Ocena ryzyka
Ryzyko dla organizacji jest niskie, ponieważ wstrzyknięty SQL wykonuje się w kontekście roli bazy danych, do której użytkownik jest już uwierzytelniony, a atakujący nie uzyskuje żadnych dodatkowych uprawnień poza tymi, które już posiada. Marginalny wpływ wynika z faktu, że ścieżka wstrzyknięcia nie jest udokumentowanym interfejsem wykonawczym SQL, więc wdrożenie blokujące narzędzie zapytań na poziomie aplikacji mogłoby umożliwić wykonanie SQL przez nieprzewidzianą ścieżkę.
Rekomendacja
Zaleca się natychmiastową aktualizację pgAdmin 4 do wersji 9.16 lub nowszej, która zawiera poprawkę przekazującą nazwę punktu przywracania jako parametr związany oraz kwalifikującą wywołanie funkcji jako pg_catalog.pg_create_restore_point.
Oryginalny opis (angielski, źródło NVD)
SQL injection in pgAdmin 4's named restore point endpoint (POST /browser/server/restore_point/{gid}/{sid}). The user-supplied 'value' field was interpolated directly into the SQL string with str.format() instead of being passed as a bound parameter, allowing an authenticated pgAdmin user with a connected PostgreSQL session to inject additional statements through that endpoint. The injected SQL executes under the database role the user is already authenticated as. The defect does not cross a privilege boundary -- the user already has direct SQL access to that role through the Query Tool -- so the attacker gains no capability beyond what their database role already grants them. The marginal impact accounts for the fact that the injection path is not the documented SQL-execution interface, so a deployment that gates the Query Tool at the application layer could see SQL executed through a path it did not anticipate. Fix passes the restore point name as a bound parameter and schema-qualifies the function call as pg_catalog.pg_create_restore_point so a non-default search_path on the connection cannot redirect the call to a shadow definition. A regression test asserts the value arrives as a bound parameter and not spliced into the SQL string. This issue affects pgAdmin 4: from 1.0 before 9.16.

