CVE-2026-12050 - pgAdmin 4: SQL injection in named restore point endpoint
Summary
This entry details a vulnerability found in the target system. The exploit was published on 2026-06-18 and has garnered 180 views from the community. It is classified under the web apps category. Users are advised to review the source code in the Detail tab for technical specifics.
Zafiyet Ozet Bilgileri
Zafiyet Detayi (Turkce)
pgAdmin 4'ün adlandırılmış geri yükleme noktası uç noktasına SQL enjeksiyonu (POST /browser/server/restore_point/{gid}/{sid}). Kullanıcı tarafından sağlanan 'değer' alanı, bağlı bir parametre olarak iletilmek yerine str.format() ile doğrudan SQL dizesine enterpolasyona tabi tutularak, bağlantılı bir PostgreSQL oturumuna sahip kimliği doğrulanmış bir pgAdmin kullanıcısının bu uç nokta aracılığıyla ek ifadeler eklemesine olanak tanındı. Enjekte edilen SQL, kullanıcının zaten kimlik doğrulamasının yapıldığı veritabanı rolü altında yürütülür. Kusur bir ayrıcalık sınırını aşmaz; kullanıcının Sorgu Aracı aracılığıyla bu role zaten doğrudan SQL erişimi vardır; dolayısıyla saldırgan, veritabanı rolünün kendisine zaten sağladığı yetenek dışında hiçbir yetenek elde edemez. Marjinal etki, enjeksiyon yolunun belgelenmiş SQL yürütme arayüzü olmadığı gerçeğini açıklamaktadır, bu nedenle Sorgu Aracını uygulama katmanında geçiren bir dağıtım, SQL'in öngörmediği bir yol üzerinden yürütüldüğünü görebilir. Fix, geri yükleme noktası adını bağlı bir parametre olarak iletir ve işlev çağrısını şema olarak pg_catalog.pg_create_restore_point olarak nitelendirir, böylece bağlantıdaki varsayılan olmayan bir arama_yolu çağrıyı bir gölge tanımına yönlendiremez. Bir regresyon testi, değerin bağlı bir parametre olarak geldiğini ve SQL dizesine eklenmediğini ileri sürer. Bu sorun pgAdmin 4'ü etkilemektedir: 1.0'dan 9.16'ya.
Orijinal Aciklama (Ingilizce)
SQL injection in pgAdmin 4's named restore point endpoint (POST /browser/server/restore_point/{gid}/{sid}). The user-supplied 'value' field was interpolated directly into the SQL string with str.format() instead of being passed as a bound parameter, allowing an authenticated pgAdmin user with a connected PostgreSQL session to inject additional statements through that endpoint. The injected SQL executes under the database role the user is already authenticated as. The defect does not cross a privilege boundary -- the user already has direct SQL access to that role through the Query Tool -- so the attacker gains no capability beyond what their database role already grants them. The marginal impact accounts for the fact that the injection path is not the documented SQL-execution interface, so a deployment that gates the Query Tool at the application layer could see SQL executed through a path it did not anticipate. Fix passes the restore point name as a bound parameter and schema-qualifies the function call as pg_catalog.pg_create_restore_point so a non-default search_path on the connection cannot redirect the call to a shadow definition. A regression test asserts the value arrives as a bound parameter and not spliced into the SQL string. This issue affects pgAdmin 4: from 1.0 before 9.16.
Download Source
Download the exploit source code for offline analysis and testing.
Download NowFile Size: ~4.8 KB | MD5: 93b6389d0ce5caf3fea1ffabbde91220
No gallery images available.
No discussion yet.