pgAdmin 4 文件管理器漏洞 CVE-2026-7819 允许认证用户

执行摘要

pgAdmin 4 文件管理器中的一个高严重性漏洞，被追踪为 CVE-2026-7819，CVSS 评分为 8.1，允许经过身份验证的用户通过符号链接路径遍历攻击将文件写入文件系统的任意位置。该漏洞存在于 check_access_permission 函数中，该函数使用 os.path.abspath 来验证文件路径。虽然 os.path.abspath 解析 .. 序列，但它不解析符号链接，这与内核随后跟随符号链接的写操作产生了不匹配。拥有有效凭证的攻击者可以在他们自己的存储目录中放置一个指向外部的符号链接，并诱使 pgAdmin 写入 pgAdmin 进程可以访问的任何路径。截至 2026 年 5 月 11 日，尚未发布补丁。

技术分析

该漏洞通过 pgAdmin 项目的 GitHub 问题跟踪器（问题 #9902）报告，被归类为 CWE-61（UNIX 符号链接跟随）和 CWE-22（对路径名到受限目录的限制不当）。根本原因是路径验证程序中的逻辑差距。

根据问题描述，check_access_permission 函数依赖于 os.path.abspath 在授予访问权限之前对用户提供的路径进行规范化。os.path.abspath 解析相对路径组件，如 ..，但不取消引用符号链接。这意味着像 /home/pgadmin/storage/user1/../outside_file 这样的路径将被规范化为 /home/pgadmin/storage/outside_file 并检查是否符合允许的存储目录。然而，如果 outside_file 是一个指向 /etc/passwd 的符号链接，内核将在实际写入操作期间跟随该链接，绕过预期的限制。

经过身份验证的攻击者可以利用这一点，通过在他们自己的存储目录中创建一个指向允许目录之外的敏感文件的符号链接（例如，/var/lib/pgadmin/storage/[email protected]/）。当文件管理器尝试写入通过此符号链接遍历的路径时，访问检查通过，因为 os.path.abspath 生成一个在允许的存储区域内的路径，但内核写入符号链接的目标。

影响仅限于经过身份验证的用户——攻击者必须拥有有效的 pgAdmin 凭证，并能够在其存储目录中创建文件。然而，从那个立足点开始，攻击者可以将任意内容写入 pgAdmin 进程可以写入的任何文件，可能导致代码执行（例如，覆盖配置文件、Python 模块或可通过 Web 访问的脚本）。

该问题在未公开的日期提交给 pgAdmin 项目，截至本文撰写时，尚未合并任何修复。根据 RSS 订阅源，NVD 条目 CVE-2026-7819 于 2026 年 5 月 10 日发布。

缓解措施与建议

在发布补丁之前，管理员应将对 pgAdmin 4 的访问限制为仅受信任的用户。鉴于漏洞需要身份验证，启用多因素认证（MFA）并严格审计用户账户可以减少攻击面。此外，以尽可能低的文件系统权限运行 pgAdmin 进程——理想情况下在容器中或使用专用的非 root 用户——限制了任何任意文件写入的影响范围。管理员应监控 pgAdmin GitHub 存储库和项目的发布说明，以获取修补版本。如果可行，建议禁用文件管理器功能或将 pgAdmin 实例与敏感系统隔离。