CVE-2026-7820

Nome do Software Vulnerável e Versões Afetadas pgAdmin 4 versões anteriores a 9.15

Descrição Ocorre uma restrição inadequada de tentativas excessivas de autenticação porque o limite MAX LOGIN ATTEMPTS é aplicado apenas na view '/authenticate/login'. A view '/login' padrão do Flask-Security não verifica o campo User.locked, pois o modelo de Usuário dependia de UserMixin.is locked() (que sempre retorna 'não bloqueado') e is active (que verifica apenas a coluna ativa). Isso permite que um invasor ignore a proteção contra força bruta para contas que utilizam a fonte de autenticação INTERNAL, enviando credenciais diretamente para '/login'. Consequentemente, as tentativas de login via '/login' não são limitadas, permitindo ataques de adivinhação de senha online ilimitados. Este problema não afeta usuários de LDAP, OAuth2, Kerberos ou Webserver.

Recomendações Atualize para a versão 9.15 ou posterior para garantir que a coluna de bloqueio seja aplicada em todos os caminhos de autenticação.