Teils kritische Schwachstellen in pgAdmin 4

Über die Sicherheitslücken können Angreifenden beispielsweise beliebigen Programmcode ausführen (auch RCE: Remote Code Execution), Serverdateien auslesen oder die Berechtigungen erweitern.

Liste der geschlossenen Schwachstellen mit CVE-Kennung, CVSS-Base-Score und Art der Lücke:

• CVE-2026-7813 (EUVD-2026-29081), 9.4/10: Erweiterung der Rechte mit anschließender Command Execution aufgrund fehlerhafter Berechtigungsprüfung
  Betroffene Versionen: alle bis vor 9.15
• CVE-2026-7815 (EUVD-2026-29083), 8.7/10: Ausführung von SQL-Anweisungen nach SQL Injection
  Betroffene Versionen: 7.6 bis vor 9.15
• CVE-2026-7816 (EUVD-2026-29084), 8.7/10: Command Execution nach OS Command Injection
  Betroffene Versionen: 9.4 bis vor 9.15
• CVE-2026-7818 (EUVD-2026-29086), 7.3/10: Remote Code Execution (RCE) aufgrund fehlerhafter Deserialisierung
  Betroffene Versionen: alle bis vor 9.15
• CVE-2026-7819 (EUVD-2026-29087), 7.2/10: Symlink Path Traversal
  Betroffene Versionen: alle bis vor 9.15
• CVE-2026-7817 (EUVD-2026-29085), 7.1/10: Auslesen von Serverdateien und Senden gefälschter Requests aufgrund von Local File Inclusion (LFI)
  Betroffene Versionen: 9.13 bis vor 9.15
• CVE-2026-7820 (EUVD-2026-29088), 6.9/10: Umgehung der Account-Sperre
  Betroffene Versionen: alle bis vor 9.15
• CVE-2026-7814 (EUVD-2026-29082), 4.8/10: XSS-Fehler
  Betroffene Versionen: 6.9 bis vor 9.15

Dies berichten das Bundesamt für Sicherheit in der Informationstechnik (BSI), die ENISA und der Hersteller.

pgAdmin ist eine quelloffene Verwaltungs- und Entwicklungsplattform für PostgreSQL-Datenbanken.

Um alle genannten Schwachstellen zu schließen, aktualisieren Sie das Produkt auf Version 9.15.