CVE-2026-7819

Nome do Software Vulnerável e Versões Afetadas pgAdmin 4 versões anteriores a 9.15

Descrição Um problema de travessia de caminho via link simbólico existe no Gerenciador de Arquivos do pgAdmin 4. A função check access permission() utilizava os.path.abspath, que resolve referências de diretórios pai ('..'), mas não resolve links simbólicos. Como a operação de gravação subsequente do kernel segue links simbólicos, um usuário autenticado pode criar um link simbólico em seu diretório de armazenamento apontando para um local fora dele. Isso permite que o usuário induza o pgAdmin a gravar em qualquer caminho acessível pelo processo do pgAdmin. Trata-se de uma falha de Time-of-Check to Time-of-Use (TOCTOU), onde existe uma condição de corrida entre a verificação de acesso e a abertura real do arquivo.

Recomendações Atualize para a versão 9.15 ou posterior.