CVE-2026-12048: Критична уразливість XSS у pgAdmin 4

Виявлено критичну уразливість XSS у pgAdmin 4 (CVE-2026-12048). Рекомендується оновити до версії 9.16 для захисту баз даних від атак.
CVE-2026-12048CVSS 9.3Database

CVE-2026-12048: Критична уразливість XSS у pgAdmin 4

Виявлено критичну уразливість XSS у pgAdmin 4 (CVE-2026-12048). Рекомендується оновити до версії 9.16 для захисту баз даних від атак.

CVSS
9.3 CRITICAL
EPSS
11.24%
Активно використовується
немає в KEV
Продукт
pgadmin 4

Що відомо

У pgAdmin 4 виявлено критичну уразливість збереженого міжсайтового скриптингу (XSS), що дозволяє зловмисникам через шкідливі повідомлення від PostgreSQL сервера впроваджувати довільний HTML та JavaScript у інтерфейс користувача. Це може призвести до перенаправлення користувачів на шкідливі сайти через фішингові сторінки, які виглядають як легітимні діалоги pgAdmin.

Бізнес-вплив

Уразливість ставить під загрозу безпеку адміністраторів баз даних, які використовують pgAdmin 4 версій від 6.0 до 9.15, оскільки зловмисник може виконувати атаки XSS через сервер PostgreSQL, що контролюється ним або містить шкідливі об'єкти. Це може призвести до викрадення сесій, фішингу та компрометації облікових даних, що негативно впливає на безпеку інфраструктури баз даних.

Рекомендовані дії адміністратора

Адміністраторам рекомендується негайно оновити pgAdmin 4 до версії 9.16 або новішої, де уразливість виправлена. Якщо оновлення неможливе, слід обмежити підключення до ненадійних PostgreSQL серверів, ретельно перевіряти імена об'єктів у базі даних, а також моніторити журнали на предмет підозрілої активності. Важливо також впровадити додаткові заходи безпеки, такі як обмеження прав користувачів бази даних.

Джерела