CVE-2026-7815

Nome do Software Vulnerável e Versões Afetadas pgAdmin 4 versões anteriores a 9.15

Descrição Uma injeção de SQL existe na Ferramenta de Manutenção onde quatro campos JSON fornecidos pelo usuário—buffer usage limit, vacuum parallel, vacuum index cleanup e reindex tablespace—são concatenados diretamente no comando VACUUM, ANALYZE ou REINDEX renderizado e passados para psql --command. Um usuário autenticado com a permissão tools maintenance pode romper a sintaxe da opção para executar SQL arbitrário no servidor PostgreSQL conectado. Isso pode levar a a execução de comandos do sistema operacional no host do banco de dados ao invocar o comando COPY ... TO PROGRAM.

Recomendações Atualize para a versão 9.15 ou posterior.