Asheshv

**Nome do Software Vulnerável e Versões Afetadas** pgAdmin 4 versões anteriores a 9.15 **Descrição** Um problema de autorização no modo servidor afeta os módulos de Grupos de Servidores, Servidores, Servidores Compartilhados, Processos em Segundo Plano e Debugger. Vários endpoints não filtram objetos de propriedade do usuário pela identidade do usuário solicitante, permitindo que um usuário autenticado acesse servidores privados, grupos de servidores, processos em segundo plano e argumentos de função do debugger ao adivinhar IDs de objetos. No recurso de Servidores Compartilhados, isso leva ao vazamento de credenciais de chaves SSL, `passfile` e `passexec cmd`. Além disso, não proprietários podem escrever em campos exclusivos do proprietário, como `passexec cmd`, `passexec expiration`, `db res` e `db res type` via API. Especificamente, um `passexec cmd` gravável (um comando de shell executado durante o estabelecimento da conexão) pode levar à escalada de privilégios e execução de comandos arbitrários no contexto do processo do proprietário. Adicionalmente, campos como `kerberos conn`, `tags` e `post connection sql` carecem de persistência por usuário, o que significa que edições de não proprietários alteram o registro do proprietário, podendo causar corrupção de dados via mutações de sessão do SQLAlchemy. **Recomendações** Atualizar para a versão 9.15.