| タイトル | pgAdmin ProjectのpgAdmin 4におけるアクセス制御に関する脆弱性 |
|---|---|
| 概要 | pgAdmin 4サーバーモードにおける認可の脆弱性であり、サーバーグループ、サーバー、共有サーバー、バックグラウンドプロセス、デバッガーモジュールに影響します。複数のエンドポイントが、要求元ユーザーの識別でフィルタリングせずにユーザー所有オブジェクトを取得していました。認証済みユーザーは、オブジェクトIDを推測することで他のユーザーのプライベートサーバー、サーバーグループ、バックグラウンドプロセス、デバッガーの関数引数にアクセス可能でした。さらに、共有サーバー機能には複数の問題が含まれており、認証情報の漏洩(passexec_cmd、passfile、SSLキー)が発生しました。書き込み可能なpassexec_cmd(接続確立時に実行されるシェルコマンド)を介した特権昇格により、所有者のプロセスコンテキストで任意のコマンドを実行可能でした。SQLAlchemyセッションの変異による所有者データの破損も確認されています。いくつかの所有者限定フィールド(passexec_cmd、passexec_expiration、db_res、db_res_type)はAPI経由で非所有者によって書き込み可能であり、追加のフィールド(kerberos_conn、tags、post_connection_sql)はユーザーごとの永続性を欠いており、非所有者の編集により所有者のレコードが変更されていました。修正は、新しいserver_accessモジュールによるアクセス制御の集中化、UserScopedMixinによるすべてのユーザー所有モデルのスコープ設定、サーバーモードでアクセス拒否時にconnection_managerからHTTP 410を返す処理、merge / APIレスポンス / ServerManagerパスにおける非所有者向けの所有者限定フィールドの抑制、明示的な所有者限定書き込みガードの追加により行われました。修正は2つのプルリクエストで提供され、両者が参照されています。この問題はpgAdmin 4のバージョン9.15未満に影響を与えます。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。 |
| 対策 | リリース情報、またはパッチ情報が公開されています。参考情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月11日0:00 |
| 登録日 | 2026年5月28日14:38 |
| 最終更新日 | 2026年5月28日14:38 |
| CVSS3.0 : 緊急 | |
| スコア | 9.9 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| pgAdmin Project |
| pgAdmin 4 9.15 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月28日] 掲載 |
2026年5月28日14:38 |
| 概要 | Authorization vulnerability in pgAdmin 4 server mode affecting Server Groups, Servers, Shared Servers, Background Processes, and Debugger modules. Multiple endpoints fetched user-owned objects without filtering by the requesting user's identity. An authenticated user could access another user's private servers, server groups, background processes, and debugger function arguments by guessing object IDs. Additionally, the Shared Servers feature contained multiple issues including credential leakage (passexec_cmd, passfile, SSL keys), privilege escalation via writable passexec_cmd (a shell command executed when establishing the connection) allowing arbitrary command execution in the owner's process context, and owner-data corruption via SQLAlchemy session mutations. Several owner-only fields (passexec_cmd, passexec_expiration, db_res, db_res_type) were writable by non-owners through the API, and additional fields (kerberos_conn, tags, post_connection_sql) lacked per-user persistence so non-owner edits mutated the owner's record. Fix centralises access control via a new server_access module, scopes all user-owned models with a UserScopedMixin, returns HTTP 410 from connection_manager when access is denied in server mode, suppresses owner-only fields for non-owners across the merge / API response / ServerManager paths, and adds an explicit owner-only write guard. The remediation landed in two pull requests; both are referenced. This issue affects pgAdmin 4: before 9.15. |
|---|---|
| 公表日 | 2026年5月12日1:17 |
| 登録日 | 2026年5月12日4:14 |
| 最終更新日 | 2026年5月14日0:34 |