製品・ソフトウェアに関する情報

JVN脆弱性詳細

pgAdmin ProjectのpgAdmin 4におけるSQL インジェクションの脆弱性

Title	pgAdmin ProjectのpgAdmin 4におけるSQL インジェクションの脆弱性
Summary	pgAdmin 4のメンテナンスツールにおけるSQLインジェクションの脆弱性です。ユーザーが提供した4つのJSONフィールド（buffer_usage_limit、vacuum_parallel、vacuum_index_cleanup、reindex_tablespace）がレンダリングされたVACUUM/ANALYZE/REINDEXコマンドに直接連結され、psql --commandに渡されていました。tools_maintenance権限を持つ認証済みユーザーは、オプション構文を破って任意のSQLを接続中のPostgreSQLサーバー上で実行できました。注入されたSQLは、COPY ... TO PROGRAMを呼び出してデータベースホスト上でOSコマンドを実行することにエスカレートする可能性がありました。修正では、これら4つのフィールドすべてにサーバー側の許可リストを導入し、reindex_tablespaceを手動クオートからqtIdentフィルターへ切り替えています。この問題はpgAdmin 4のバージョン9.15未満のすべてに影響します。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 11, 2026, midnight
Registration Date	May 28, 2026, 2:38 p.m.
Last Update	May 28, 2026, 2:38 p.m.

CVSS3.0 : 重要
Score	8.8
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Affected System

pgAdmin Project

pgAdmin 4 7.6 以上 9.15 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-7815	https://www.cve.org/CVERecord?id=CVE-2026-7815
National Vulnerability Database (NVD)
2	CVE-2026-7815	https://nvd.nist.gov/vuln/detail/CVE-2026-7815

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-89	https://jvndb.jvn.jp/ja/cwe/CWE-89.html

ベンダー情報

No	Name	URL
GitHub
1	SQL injection in Maintenance tool option values (CVE-2026-7815) Issue #9898 pgadmin-org/pgadmin4	https://github.com/pgadmin-org/pgadmin4/issues/9898

Change Log

No	Changed Details	Date of change
1	[2026年05月28日] 掲載	May 28, 2026, 2:38 p.m.

NVD Vulnerability Information

CVE-2026-7815

Summary	SQL injection vulnerability in pgAdmin 4 Maintenance Tool. Four user-supplied JSON fields (buffer_usage_limit, vacuum_parallel, vacuum_index_cleanup, reindex_tablespace) were concatenated directly into the rendered VACUUM/ANALYZE/REINDEX command and passed to psql --command. An authenticated user with the tools_maintenance permission could break out of the option syntax and execute arbitrary SQL on the connected PostgreSQL server. The injected SQL could in turn invoke COPY ... TO PROGRAM to escalate to operating-system command execution on the database host. Fix introduces server-side allow-listing of all four fields and switches reindex_tablespace from manual quoting to the qtIdent filter. This issue affects pgAdmin 4: before 9.15.
Publication Date	May 12, 2026, 1:17 a.m.
Registration Date	May 12, 2026, 4:14 a.m.
Last Update	May 14, 2026, 12:34 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/pgadmin-org/pgadmin4/issues/9898	f86ef6dc-4d3a-42ad-8f28-e6d5547a5007

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-89	SQLインジェクション	https://cwe.mitre.org/data/definitions/89.html