J3Seer

**Nome do Software Vulnerável e Versões Afetadas** pgAdmin 4 versões anteriores a 9.15 **Descrição** Uma injeção de SQL existe na Ferramenta de Manutenção onde quatro campos JSON fornecidos pelo usuário—`buffer usage limit`, `vacuum parallel`, `vacuum index cleanup` e `reindex tablespace`—são concatenados diretamente no comando VACUUM, ANALYZE ou REINDEX renderizado e passados para psql --command. Um usuário autenticado com a permissão tools maintenance pode romper a sintaxe da opção para executar SQL arbitrário no servidor PostgreSQL conectado. Isso pode levar a a execução de comandos do sistema operacional no host do banco de dados ao invocar o comando COPY ... TO PROGRAM. **Recomendações** Atualize para a versão 9.15 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** pgAdmin 4 versões anteriores a 9.15 **Descrição** Problemas de inclusão de arquivo local (LFI) e falsificação de solicitação do lado do servidor (SSRF) existem nos endpoints de configuração da API LLM. Usuários autenticados podem ler arquivos arbitrários do servidor fornecendo um caminho para a preferência `api key file`, ou forçar a aplicação a fazer solicitações para alvos internos, como serviços de metadados de nuvem, manipulando a preferência `api url`. Esses problemas são exploráveis através dos endpoints de caminho de chat e de lista de modelos. **Recomendações** Atualize para a versão 9.15 ou posterior. Restrinja a `api url` usando a lista de permissões `config.ALLOWED LLM API URLS` em cada ponto de entrada.