Katalog CVE

CVE-2026-12050

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Podatność SQL injection w pgAdmin 4 w punkcie końcowym nazwanego punktu przywracania (POST /browser/server/restore_point/{gid}/{sid}). Wartość dostarczona przez użytkownika w polu 'value' była bezpośrednio interpolowana do zapytania SQL za pomocą str.format() zamiast przekazana jako parametr związany, co pozwalało uwierzytelnionemu użytkownikowi pgAdmin z aktywną sesją PostgreSQL na wstrzyknięcie dodatkowych instrukcji przez ten punkt końcowy.

Ocena ryzyka

Ryzyko dla organizacji jest niskie, ponieważ wstrzyknięty SQL wykonuje się w kontekście roli bazy danych, do której użytkownik jest już uwierzytelniony, a atakujący nie uzyskuje żadnych dodatkowych uprawnień poza tymi, które już posiada. Marginalny wpływ wynika z faktu, że ścieżka wstrzyknięcia nie jest udokumentowanym interfejsem wykonawczym SQL, więc wdrożenie blokujące narzędzie zapytań na poziomie aplikacji mogłoby umożliwić wykonanie SQL przez nieprzewidzianą ścieżkę.

Rekomendacja

Zaleca się natychmiastową aktualizację pgAdmin 4 do wersji 9.16 lub nowszej, która zawiera poprawkę przekazującą nazwę punktu przywracania jako parametr związany oraz kwalifikującą wywołanie funkcji jako pg_catalog.pg_create_restore_point.

Oryginalny opis (angielski, źródło NVD)

SQL injection in pgAdmin 4's named restore point endpoint (POST /browser/server/restore_point/{gid}/{sid}). The user-supplied 'value' field was interpolated directly into the SQL string with str.format() instead of being passed as a bound parameter, allowing an authenticated pgAdmin user with a connected PostgreSQL session to inject additional statements through that endpoint. The injected SQL executes under the database role the user is already authenticated as. The defect does not cross a privilege boundary -- the user already has direct SQL access to that role through the Query Tool -- so the attacker gains no capability beyond what their database role already grants them. The marginal impact accounts for the fact that the injection path is not the documented SQL-execution interface, so a deployment that gates the Query Tool at the application layer could see SQL executed through a path it did not anticipate. Fix passes the restore point name as a bound parameter and schema-qualifies the function call as pg_catalog.pg_create_restore_point so a non-default search_path on the connection cannot redirect the call to a shadow definition. A regression test asserts the value arrives as a bound parameter and not spliced into the SQL string. This issue affects pgAdmin 4: from 1.0 before 9.16.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS