CVE-2026-7817

Nome do Software Vulnerável e Versões Afetadas pgAdmin 4 versões anteriores a 9.15

Descrição Problemas de inclusão de arquivo local (LFI) e falsificação de solicitação do lado do servidor (SSRF) existem nos endpoints de configuração da API LLM. Usuários autenticados podem ler arquivos arbitrários do servidor fornecendo um caminho para a preferência api key file, ou forçar a aplicação a fazer solicitações para alvos internos, como serviços de metadados de nuvem, manipulando a preferência api url. Esses problemas são exploráveis através dos endpoints de caminho de chat e de lista de modelos.

Recomendações Atualize para a versão 9.15 ou posterior. Restrinja a api url usando a lista de permissões config.ALLOWED LLM API URLS em cada ponto de entrada.