PostgreSQL - CVE-2026-7813
Date de publication :
Il s'agit d'une vulnérabilité de contrôle d'accès défaillant dans le mode serveur de pgAdmin 4.
pgAdmin 4 est l'interface d'administration graphique de référence pour PostgreSQL. Il permet la gestion des bases de données, l'exécution de requêtes, la supervision des processus et l'administration des connexions. Il est disponible en mode desktop et en mode serveur multi-utilisateurs.
Les endpoints des modules Servers, Shared Servers et Debugger récupéraient les objets sans filtrage par l'identité de l'utilisateur demandeur. Un attaquant authentifié pouvait accéder aux ressources d'autres utilisateurs par énumération d'identifiants. Le champ passexec_cmd, une commande shell exécutée lors de l'établissement d'une connexion, était modifiable par un non-propriétaire via l'API.
Elle permet à un attaquant authentifié d'exfiltrer des credentials, d'accéder aux données d'autres utilisateurs et d'exécuter du code arbitraire sur le serveur.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
• Exécution de code arbitraire (à distance)
• Atteinte à la confidentialité des données
• Atteinte à l'intégrité des données
Exploitation
CWE-284 : Improper Access Control
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
pgAdmin 4 versions antérieures à 9.15