Origine : bjCSIRT

Numéro : 2026/ALERTE/037

APERÇU :

De multiples vulnérabilités ont été découvertes dans pgAdmin 4, permettant à un acteur malveillant d’effectuer plusieurs actions malveillantes sur les systèmes affectés.

DESCRIPTION
pgAdmin est un outil de gestion et d’administration des bases de données PostgreSQL, fournissant une interface graphique intuitive pour créer, modifier et superviser les bases de données. Il permet aux développeurs et administrateurs de gérer efficacement les objets, d’exécuter des requêtes SQL, et de gérer les rôles, les permissions et les accès aux bases de données. 

Cet outil est affecté par plusieurs vulnérabilités libellées comme suit :  

CVE-2026-7813 : Cette vulnérabilité résulte d’une insuffisance des contrôles d’accès dans le mode serveur de pgAdmin 4, affectant les modules Server Groups, Servers, Shared Servers, Background Processes et Debugger. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’accéder aux serveurs privés et groupes appartenant à d’autres utilisateurs en devinant les identifiants d’objets, et d’exécuter des commandes arbitraires via le champ passexec_cmd des serveurs partagés.  

Cette vulnérabilité est classée critique avec un score de sévérité de 9.9 selon le CVSS V3.1.  

CVE-2026-7814 : Cette vulnérabilité est due à une absence de validation et d’encodage des entrées lors du rendu des noms d’objets PostgreSQL dans le Browser Tree et l’Explain Visualizer. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’injecter et d’exécuter du code JavaScript arbitraire dans le navigateur des autres utilisateurs.  

Cette vulnérabilité est classée élevée avec un score de sévérité de 7.6 selon le CVSS V3.1.  

CVE-2026-7815 : Cette vulnérabilité est due à une absence de validation des entrées dans les paramètres table, schema, maintenance_db et encoding de l’outil Maintenance. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’exécuter des requêtes SQL arbitraires avec les privilèges du processus pgAdmin sur le système affecté.. 

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.8 selon le CVSS V3.1 

CVE-2026-7816 : Cette vulnérabilité est due à une absence de validation et d’assainissement des entrées dans la fonctionnalité Import/Export. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’injecter et d’exécuter des commandes système arbitraires sur le serveur hébergeant pgAdmin. 

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.8 selon le CVSS V3.1.  

CVE-2026-7817 : Cette vulnérabilité est due à une absence de validation des URL fournies dans les points d’accès de configuration de l’API LLM. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié de lire des fichiers arbitraires sur le serveur (LFI) ou de contraindre pgAdmin à émettre des requêtes vers des ressources internes . 

Cette vulnérabilité est classée moyenne avec un score de sévérité de 6.5 selon le CVSS V3.1.  

CVE-2026-7818 : Cette vulnérabilité est due à une désérialisation non sécurisée dans le gestionnaire de sessions. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié de forger un fichier de session malveillant afin d’exécuter du code arbitraire à distance sur le système affecté.  

Cette vulnérabilité est classée élevée avec un score de sévérité de 8.8 selon le CVSS V3.1.  

CVE-2026-7819 : Cette vulnérabilité est due à une absence de contrôle lors de la résolution de liens symboliques dans le gestionnaire de fichiers de pgAdmin. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant authentifié d’accéder à des fichiers arbitraires en dehors des répertoires autorisés. 

Cette vulnérabilité est classée élevée avec un score de sévérité de 7.7 selon le CVSS V3.1.  

CVE-2026-7820 : Cette vulnérabilité est due à une absence de mécanisme de limitation du nombre de tentatives de connexion dans la vue de connexion Flask-Security. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de tenter un nombre illimité de connexions sur un compte verrouillé, ouvrant ainsi la voie à des attaques par force brute. Cette vulnérabilité est classée moyenne avec un score de sévérité de 5.3 selon le CVSS V3.1. 

IMPACT

• Exécution de code arbitraire à distance ;
• Contournement des contrôles d’accès ;
• Atteinte à la confidentialité des données ;
• Compromission de l’intégrité du système ;
• Déni de service (DoS)

SYSTEMES AFFECTÉS 

Toutes les versions de pgAdmin 4 antérieures à la version 9.15.

MESURES À PRENDRE :

Mettre à jour pgAdmin 4 vers la version 9.15 ou ultérieure. 

RÉFÉRENCES :

• https://www.pgadmin.org/docs/pgadmin4/9.15/release_notes_9_15.html
• https://www.postgresql.org/about/news/pgadmin-4-v915-released-3295/
• https://nvd.nist.gov/vuln/detail/CVE-2026-7813
• https://nvd.nist.gov/vuln/detail/CVE-2026-7814
• https://nvd.nist.gov/vuln/detail/CVE-2026-7815
• https://nvd.nist.gov/vuln/detail/CVE-2026-7816
• https://nvd.nist.gov/vuln/detail/CVE-2026-7817
• https://nvd.nist.gov/vuln/detail/CVE-2026-7818
• https://nvd.nist.gov/vuln/detail/CVE-2026-7819
• https://nvd.nist.gov/vuln/detail/CVE-2026-7820
• https://www.thehackerwire.com/pgadmin-4-critical-authorization-bypass-and-rce/