CVE-2026-7813: pgAdmin 4 服务器模式缺陷允许用户访问私有

执行摘要

pgAdmin 4服务器模式中存在一个严重的授权漏洞，跟踪编号为CVE-2026-7813，CVSS评分为9.9，允许经过身份验证的用户访问属于其他用户的私有服务器组、服务器、共享服务器、后台进程和调试器函数参数。这个漏洞源于多个API端点未能验证请求用户是否拥有所请求对象，而是依赖于可以猜测的对象标识符。pgAdmin项目已经通过拉取请求#9830发布了补丁，强烈建议所有在服务器模式下运行pgAdmin 4的用户立即更新。

技术分析

根据与修复程序一起发布的公告，该漏洞影响pgAdmin 4服务器模式——这是一个多用户部署配置，其中中央pgAdmin实例服务于多个经过身份验证的用户。这个问题不影响桌面模式，即单个用户在本地操作应用程序。

根本原因是多个模块中的授权绕过：

• 服务器组：列出或修改服务器组的端点没有根据经过身份验证的用户身份过滤结果。攻击者可以枚举属于其他用户的组ID并访问其内容。
• 服务器：包括连接详情和其他用户存储的凭据在内的单个服务器配置，可以通过提供目标服务器的对象ID来访问。
• 共享服务器：本应仅对指定用户可见的共享服务器条目，任何经过身份验证的用户只要猜测到对象ID，就可以读取或操纵它们。
• 后台进程：由其他用户启动的进程的后台作业状态和详细信息在没有所有权检查的情况下被暴露。
• 调试器模块：属于其他用户调试会话的调试器函数参数和执行状态，攻击者只要知道会话ID，就可以检索。

不需要绕过身份验证——攻击者必须已经拥有一个有效的pgAdmin会话。然而，这个漏洞不需要管理员权限；任何经过身份验证的用户，包括那些拥有最低角色的用户，都可以利用它。攻击面因pgAdmin中的对象ID是连续整数而扩大，使得它们非常容易猜测。攻击者可以编写一个简单的循环来枚举所有对象ID并窃取每个其他用户的私有数据。

CVSS 9.9的评分反映了低攻击复杂性（无特殊条件）、所需权限低（任何经过身份验证的用户）、无需用户交互以及高保密性影响。完整性和可用性没有直接受到影响，但服务器配置中存储的数据库凭据的暴露可能会导致下游的妥协。

缓解措施与建议

运行pgAdmin 4服务器模式的防御者应尽快应用拉取请求#9830中的补丁。修复程序在所有受影响的端点引入了所有权检查，确保用户只能访问他们创建的或被明确授予访问权限的对象。

对于不能立即打补丁的组织，建议采取以下临时缓解措施：

• 仅将pgAdmin服务器模式限制在受信任的网络中，使用防火墙规则或VPN访问来限制对内部用户的暴露。
• 审核所有现有用户账户，并删除任何不必要的或不活跃的账户。
• 监控pgAdmin访问日志中的异常模式，例如对对象ID的快速顺序请求或访问用户正常范围之外的对象。
• 如果多用户协作不关键，考虑将个人用户回退到桌面模式，因为桌面模式不受此漏洞影响。

不存在完全解决授权差距的变通方法，因为没有补丁，这个漏洞是架构性的。