Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-02533

Опубликовано: 05 фев. 2026
Источник: fstec
CVSS3: 7.4
CVSS2: 6.5
EPSS Низкий

Описание

Уязвимость инструмента управления базами данных pgAdmin 4 связана с ошибками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольные команды

Вендор

PostgreSQL Community Association of Canada

Наименование ПО

pgAdmin 4

Версия ПО

9.11 (pgAdmin 4)

Тип ПО

СУБД

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,5)
Высокий уровень опасности (базовая оценка CVSS 3.1 составляет 7,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Обновление pgAdmin до версии 9.12 или новее.
https://advisories.gitlab.com/pkg/pypi/pgadmin4/CVE-2026-1707/
Основная мера: Обновление pgAdmin до версии 9.12 или новее.
Компенсирующие меры:
1. Ограничение доступа: Ограничить доступ к веб-интерфейсу pgAdmin только для доверенных администраторов, например, с помощью сетевых экранов (firewall) или настройки обратного прокси-сервера;
2. Избегать использования PLAIN-формата: не выполнять операции восстановления из дамп-файлов в формате PLAIN в многопользовательской среде до применения патча;
3. Режим рабочей станции: Временно перевести pgAdmin в "десктопный режим" (desktop mode), если это возможно, так как уязвимость проявляется только в серверном режиме

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 6%
0.00021
Низкий

7.4 High

CVSS3

6.5 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2026-1707

CVSS3: 7.4
nvd
около 2 месяцев назад

pgAdmin versions 9.11 are affected by a Restore restriction bypass via key disclosure vulnerability that occurs when running in server mode and performing restores from PLAIN-format dump files. An attacker with access to the pgAdmin web interface can observe an active restore operation, extract the `\restrict` key in real time, and race the restore process by overwriting the restore script with a payload that re-enables meta-commands using `\unrestrict <key>`. This results in reliable command execution on the pgAdmin host during the restore operation.

debian логотип

CVE-2026-1707

CVSS3: 7.4
debian
около 2 месяцев назад

pgAdmin versions 9.11 are affected by a Restore restriction bypass via ...

github логотип

GHSA-3p7x-94q9-jq9x

CVSS3: 7.4
github
около 2 месяцев назад

pgadmin4 affected by a Restore restriction bypass via key disclosure vulnerability

EPSS

Процентиль: 6%
0.00021
Низкий

7.4 High

CVSS3

6.5 Medium

CVSS2