| タイトル | pgAdmin ProjectのpgAdmin 4におけるSQL インジェクションの脆弱性 |
|---|---|
| 概要 | pgAdmin 4のメンテナンスツールにおけるSQLインジェクションの脆弱性です。ユーザーが提供した4つのJSONフィールド(buffer_usage_limit、vacuum_parallel、vacuum_index_cleanup、reindex_tablespace)がレンダリングされたVACUUM/ANALYZE/REINDEXコマンドに直接連結され、psql --commandに渡されていました。tools_maintenance権限を持つ認証済みユーザーは、オプション構文を破って任意のSQLを接続中のPostgreSQLサーバー上で実行できました。注入されたSQLは、COPY ... TO PROGRAMを呼び出してデータベースホスト上でOSコマンドを実行することにエスカレートする可能性がありました。修正では、これら4つのフィールドすべてにサーバー側の許可リストを導入し、reindex_tablespaceを手動クオートからqtIdentフィルターへ切り替えています。この問題はpgAdmin 4のバージョン9.15未満のすべてに影響します。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月11日0:00 |
| 登録日 | 2026年5月28日14:38 |
| 最終更新日 | 2026年5月28日14:38 |
| CVSS3.0 : 重要 | |
| スコア | 8.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
| pgAdmin Project |
| pgAdmin 4 7.6 以上 9.15 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月28日] 掲載 |
2026年5月28日14:38 |
| 概要 | SQL injection vulnerability in pgAdmin 4 Maintenance Tool. Four user-supplied JSON fields (buffer_usage_limit, vacuum_parallel, vacuum_index_cleanup, reindex_tablespace) were concatenated directly into the rendered VACUUM/ANALYZE/REINDEX command and passed to psql --command. An authenticated user with the tools_maintenance permission could break out of the option syntax and execute arbitrary SQL on the connected PostgreSQL server. The injected SQL could in turn invoke COPY ... TO PROGRAM to escalate to operating-system command execution on the database host. Fix introduces server-side allow-listing of all four fields and switches reindex_tablespace from manual quoting to the qtIdent filter. This issue affects pgAdmin 4: before 9.15. |
|---|---|
| 公表日 | 2026年5月12日1:17 |
| 登録日 | 2026年5月12日4:14 |
| 最終更新日 | 2026年5月14日0:34 |