CVE-2026-12050 - pgAdmin 4: SQL injection in named restore point endpoint
Сводка
Эта запись подробно описывает уязвимость, обнаруженную в целевой системе. Эксплойт был опубликован 2026-06-18 и набрал 178 просмотров сообщества. Он классифицируется по категории веб-приложения. Пользователям рекомендуется ознакомиться с исходным кодом во вкладке «Детали» для получения технических подробностей.
Zafiyet Ozet Bilgileri
Zafiyet Detayi (Turkce)
pgAdmin 4'ün adlandırılmış geri yükleme noktası uç noktasına SQL enjeksiyonu (POST /browser/server/restore_point/{gid}/{sid}). Kullanıcı tarafından sağlanan 'değer' alanı, bağlı bir parametre olarak iletilmek yerine str.format() ile doğrudan SQL dizesine enterpolasyona tabi tutularak, bağlantılı bir PostgreSQL oturumuna sahip kimliği doğrulanmış bir pgAdmin kullanıcısının bu uç nokta aracılığıyla ek ifadeler eklemesine olanak tanındı. Enjekte edilen SQL, kullanıcının zaten kimlik doğrulamasının yapıldığı veritabanı rolü altında yürütülür. Kusur bir ayrıcalık sınırını aşmaz; kullanıcının Sorgu Aracı aracılığıyla bu role zaten doğrudan SQL erişimi vardır; dolayısıyla saldırgan, veritabanı rolünün kendisine zaten sağladığı yetenek dışında hiçbir yetenek elde edemez. Marjinal etki, enjeksiyon yolunun belgelenmiş SQL yürütme arayüzü olmadığı gerçeğini açıklamaktadır, bu nedenle Sorgu Aracını uygulama katmanında geçiren bir dağıtım, SQL'in öngörmediği bir yol üzerinden yürütüldüğünü görebilir. Fix, geri yükleme noktası adını bağlı bir parametre olarak iletir ve işlev çağrısını şema olarak pg_catalog.pg_create_restore_point olarak nitelendirir, böylece bağlantıdaki varsayılan olmayan bir arama_yolu çağrıyı bir gölge tanımına yönlendiremez. Bir regresyon testi, değerin bağlı bir parametre olarak geldiğini ve SQL dizesine eklenmediğini ileri sürer. Bu sorun pgAdmin 4'ü etkilemektedir: 1.0'dan 9.16'ya.
Orijinal Aciklama (Ingilizce)
SQL injection in pgAdmin 4's named restore point endpoint (POST /browser/server/restore_point/{gid}/{sid}). The user-supplied 'value' field was interpolated directly into the SQL string with str.format() instead of being passed as a bound parameter, allowing an authenticated pgAdmin user with a connected PostgreSQL session to inject additional statements through that endpoint. The injected SQL executes under the database role the user is already authenticated as. The defect does not cross a privilege boundary -- the user already has direct SQL access to that role through the Query Tool -- so the attacker gains no capability beyond what their database role already grants them. The marginal impact accounts for the fact that the injection path is not the documented SQL-execution interface, so a deployment that gates the Query Tool at the application layer could see SQL executed through a path it did not anticipate. Fix passes the restore point name as a bound parameter and schema-qualifies the function call as pg_catalog.pg_create_restore_point so a non-default search_path on the connection cannot redirect the call to a shadow definition. A regression test asserts the value arrives as a bound parameter and not spliced into the SQL string. This issue affects pgAdmin 4: from 1.0 before 9.16.
Скачать исходный код
Скачать исходный код эксплойта для оффлайн анализа и тестирования.
Скачать сейчасРазмер файла: ~4.8 KB | MD5: 93b6389d0ce5caf3fea1ffabbde91220
Нет доступных изображений в галерее.
Обсуждений пока нет.