В Банке данных угроз безопасности информации (BDU) зафиксирована критическая уязвимость в популярном инструменте управления базами данных PostgreSQL - pgAdmin 4. Проблеме присвоены идентификаторы BDU:2026-08904 и CVE-2026-12048. Речь идет об ошибке, которая позволяет злоумышленнику, действующему удалённо, проводить межсайтовые сценарные атаки (XSS) на веб-интерфейс этого серверного приложения.
Детали уязвимости
Сама уязвимость затрагивает пакет html-react-parser, применяемый в pgAdmin 4 для обработки HTML-кода. Согласно описанию BDU, корень проблемы кроется в неверном кодировании или экранировании данных. Простыми словами, программа некорректно обрабатывает специальные символы, которые вставляются в веб-страницу. Это позволяет атакующему внедрить в интерфейс препарата вредоносный скрипт. Когда администратор базы данных открывает заражённую страницу, скрипт выполняется в его браузере.
По данным из официального бюллетеня, уязвимости подвержены все версии pgAdmin 4 от 6.0 до 9.16 включительно. Разработчик, PostgreSQL Community Association of Canada, уже выпустил исправление. Соответствующий коммит и информация об устранении доступны в официальном репозитории на GitHub, а также в системе отслеживания ошибок (issue #10068). Пользователям настоятельно рекомендуется как можно скорее обновить своё программное обеспечение до версии, в которой закрыта эта брешь.
Опасность данной уязвимости действительно высока. По шкале CVSS её базовый балл составляет от 9,3 до 9,4 в разных версиях методики. Это говорит о критическом уровне угрозы. Вектор атаки сетевой (AV:N), сложность низкая (AC:L), привилегии не требуются (PR:N), однако для успешной атаки необходимо участие пользователя (UI:R). В контексте pgAdmin это означает, что злоумышленнику нужно обманом заставить администратора кликнуть на специально подготовленную ссылку или открыть страницу с вредоносным содержимым. Кроме того, взаимодействие между компонентами системы (S:C) имеет высокий уровень, что позволяет атаке распространяться на другие сегменты.
Что произойдет, если злоумышленнику удастся провести атаку? Он сможет выполнить произвольный JavaScript-код в контексте сессии администратора. Это открывает широкий спектр возможностей: от кражи cookie-файлов и перехвата сессионных токенов до внедрения фишинговых форм и похищения учётных данных. Атакующий потенциально может получить доступ к содержимому баз данных, изменить их или выгрузить информацию во внешнюю систему. Компоненты системы, на которых работает pgAdmin, включая сам PostgreSQL, также оказываются под угрозой компрометации. В результате простоя и восстановления информации бизнесу грозит финансовый ущерб.
Эксперты в области кибербезопасности подчёркивают, что уязвимость относится к коду, а не к конфигурации. То есть она заложена в самом алгоритме обработки данных пакетом html-react-parser. Это типичная проблема, классифицированная как CWE-79 (непринятие мер по защите структуры веб-страницы, проще говоря - межсайтовая сценарная атака) и CWE-116 (некорректное кодирование или сокрытие выходных данных). Оба класса ошибок хорошо известны и давно описаны в методиках разработки безопасного ПО. Тем не менее их появление в таком массовом инструменте, как pgAdmin, лишний раз напоминает, что даже зрелые проекты не застрахованы от багов.
На текущий момент информация о существовании готового эксплойта отсутствует. Однако, учитывая высокую оценку CVSS и открытость репозитория, где опубликован исправляющий коммит, обратная разработка может быть выполнена злоумышленниками в ближайшее время. Поэтому откладывать установку патча не стоит.
Для администраторов, использующих pgAdmin 4, рекомендация проста: обновить ПО до актуальной стабильной версии. Также стоит просмотреть настройки безопасности веб-интерфейса - например, убедиться, что строгая политика межсайтовой защиты (Content Security Policy) включена и настроена правильно. Дополнительно рекомендуется подумать о сегментации сети, чтобы доступ к панели управления базами данных был только у тех, кому это действительно необходимо.
В заключение стоит отметить: эта новость - ещё одно напоминание о критической важности непрерывного мониторинга уязвимостей в используемых системах. Даже такой привычный инструмент, как pgAdmin, может стать точкой входа для серьёзной атаки. Обновление программного обеспечения остаётся самым надёжным и простым способом защиты.
Ссылки
- https://bdu.fstec.ru/vul/2026-08904
- https://www.cve.org/CVERecord?id=CVE-2026-12048
- https://github.com/pgadmin-org/pgadmin4/commit/9e370d3cb67b83b3945f82969c959fad3f926517
- https://github.com/pgadmin-org/pgadmin4/issues/10068