CVE-2026-12046

Nome do Software Vulnerável e Versões Afetadas pgAdmin 4 versões 6.9 a 9.15

Descrição No modo servidor, dois endpoints de mutação de estado no blueprint do SQL Editor, 'DELETE /sqleditor/close/' e 'POST /sqleditor/initialize/sqleditor/update connection///', não possuem o decorador de autenticação @pga login required. Isso permite que requisições não autenticadas alcancem um sink pickle.loads — uma função usada para desserializar objetos Python — através das funções close sqleditor session() e check transaction status(). Especificamente, o problema envolve a entrada gridData dentro dos dados da sessão. Embora isso permita o acesso não autenticado ao caminho de desserialização, a execução remota de código requer que o invasor possua a SECRET KEY do Flask e tenha acesso de escrita ao diretório sessions/ no host para forjar um arquivo de sessão malicioso. Se essas condições forem atendidas, um invasor pode executar código arbitrário sob a conta que executa o pgAdmin, levando potencialmente ao comprometimento do host e ao roubo de credenciais do banco de dados.

Recomendações Atualize o pgAdmin 4 para a versão 9.16.