CVE-2026-7813

Published: Mag 11, 2026 Last Modified: Mag 11, 2026

ExploitDB:

Other exploit source:

Google Dorks:

CRITICAL 9,4

Source: f86ef6dc-4d3a-42ad-8f28-e6d5547a5007

Attack Vector: network

Attack Complexity: low

Privileges Required: low

User Interaction: none

Confidentiality: N/A

Integrity: N/A

Availability: N/A

CRITICAL 9,9

Source: f86ef6dc-4d3a-42ad-8f28-e6d5547a5007

Attack Vector: network

Attack Complexity: low

Privileges Required: low

User Interaction: none

Scope: changed

Confidentiality: high

Integrity: high

Availability: high

Description

AI Translation Available

Authorization vulnerability in pgAdmin 4 server mode affecting Server Groups, Servers, Shared Servers, Background Processes, and Debugger modules.

Multiple endpoints fetched user-owned objects without filtering by the requesting user's identity. An authenticated user could access another user's private servers, server groups, background processes, and debugger function arguments by guessing object IDs.

Additionally, the Shared Servers feature contained multiple issues including credential leakage (passexec_cmd, passfile, SSL keys), privilege escalation via writable passexec_cmd (a shell command executed when establishing the connection) allowing arbitrary command execution in the owner's process context, and owner-data corruption via SQLAlchemy session mutations. Several owner-only fields (passexec_cmd, passexec_expiration, db_res, db_res_type) were writable by non-owners through the API, and additional fields (kerberos_conn, tags, post_connection_sql) lacked per-user persistence so non-owner edits mutated the owner's record.

Fix centralises access control via a new server_access module, scopes all user-owned models with a UserScopedMixin, returns HTTP 410 from connection_manager when access is denied in server mode, suppresses owner-only fields for non-owners across the merge / API response / ServerManager paths, and adds an explicit owner-only write guard. The remediation landed in two pull requests; both are referenced.

This issue affects pgAdmin 4: before 9.15.

AI Generated Translation

Vulnerabilità di autorizzazione nel server mode di pgAdmin 4 che interessa i moduli Server Groups, Servers, Shared Servers, Background Processes e Debugger.

Multiple endpoint recuperavano oggetti di proprietà dell'utente senza filtrare in base all'identità dell'utente richiedente. Un utente autenticato poteva accedere ai server privati di un altro utente, ai gruppi di server, ai processi in background e agli argomenti delle funzioni debugger semplicemente indovinando gli ID degli oggetti.

Inoltre, la funzione Shared Servers presentava molteplici vulnerabilità, tra cui perdita di credenziali (passexec_cmd, passfile, chiavi SSL), escalation dei privilegi tramite passexec_cmd scrivibile (un comando shell eseguito durante l'instaurazione della connessione) che consentiva l'esecuzione arbitraria di comandi nel contesto del processo proprietario, e corruzione dei dati proprietari tramite mutazioni della sessione SQLAlchemy. Diversi campi riservati ai soli proprietari (passexec_cmd, passexec_expiration, db_res, db_res_type) erano scrivibili da utenti non proprietari tramite API, e altri campi (kerberos_conn, tags, post_connection_sql) mancavano di persistenza per utente, causando la mutazione dei record del proprietario durante le modifiche da parte di utenti non proprietari.

La correzione centralizza il controllo degli accessi tramite un nuovo modulo server_access, limita tutti i modelli di proprietà dell'utente con un mixin UserScopedMixin, restituisce HTTP 410 dal connection_manager quando l'accesso viene negato in modalità server, sopprime i campi riservati ai soli proprietari per utenti non proprietari durante le operazioni di merge / API / ServerManager, e aggiunge una guardia esplicita di scrittura riservata ai soli proprietari. La soluzione è stata implementata tramite due pull request; entrambe sono referenziate.

Questo problema riguarda pgAdmin 4: versioni prima della 9.15.

https://github.com/pgadmin-org/pgadmin4/pull/9830

https://github.com/pgadmin-org/pgadmin4/pull/9835

CVE-2026-7813

Description

Iscriviti alla newsletter