Krytyczna luka XSS w pgAdmin 4 umożliwiająca ataki phishingowe

Krytyczna luka XSS w pgAdmin 4 pozwala na ataki phishingowe i przejęcie sesji. Zalecana aktualizacja do wersji 9.16 lub wyższej.
CVE-2026-12048CVSS 9.3Database

Krytyczna luka XSS w pgAdmin 4 umożliwiająca ataki phishingowe

Krytyczna luka XSS w pgAdmin 4 pozwala na ataki phishingowe i przejęcie sesji. Zalecana aktualizacja do wersji 9.16 lub wyższej.

CVSS
9.3 CRITICAL
EPSS
11.24%
Aktywnie wykorzystywana
brak w KEV
Produkt
pgadmin 4

Co wiadomo

W pgAdmin 4 wykryto krytyczną lukę typu stored cross-site scripting (XSS) w mechanizmach renderowania błędów i planów zapytań. Atakujący mogą wstrzyknąć złośliwy kod HTML, w tym iframe, który może przekierować użytkownika do fałszywej strony phishingowej w kontekście aplikacji.

Wpływ biznesowy

Luka ta pozwala na wykonanie złośliwego kodu w interfejsie pgAdmin 4, co może prowadzić do przejęcia sesji użytkownika lub wyłudzenia danych poprzez fałszywe okna dialogowe. Wpływa to na bezpieczeństwo administratorów baz danych i może skutkować poważnymi naruszeniami danych oraz utratą zaufania do systemu zarządzania bazą danych.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie pgAdmin 4 do wersji 9.16 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do pgAdmin oraz monitorować logi pod kątem podejrzanych aktywności. Dodatkowo warto przeprowadzić przegląd uprawnień użytkowników i stosować zasady minimalnych uprawnień.

Źródła