製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

pgAdmin ProjectのpgAdmin 4における信頼できないデータのデシリアライゼーションに関する脆弱性

タイトル	pgAdmin ProjectのpgAdmin 4における信頼できないデータのデシリアライゼーションに関する脆弱性
概要	pgAdmin 4 の FileBackedSessionManager における信頼されていないデータの逆シリアライズの脆弱性（CWE-502）です。セッションマネージャは、HMAC の整合性チェックを行う前に、Python の標準オブジェクトシリアライズモジュールを使用してセッションファイルの内容を安全でない方法で逆シリアライズしていました。セッションディレクトリに置かれた任意のファイルは無条件に逆シリアライズされていました。書き込み権限を持つ認証済みユーザーは、設定ミスや他のパストラバーサルの脆弱性と組み合わせることで、細工されたシリアライズペイロードを設置し、pgAdmin プロセスの権限で OS レベルのリモートコード実行を達成できる可能性があります。修正では、SESSION_BODY に対して SECRET_KEY を用いて計算した 64 バイトの 16 進 SHA-256 HMAC を前置し、逆シリアライズ前に hmac.compare_digest で検証します。SECRET_KEY が空の場合は例外を発生させるのではなくエラーとし、-O オプションで除去されないようにしています。この問題は pgAdmin 4 のバージョン 9.15 未満に影響します。
想定される影響	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアが完全に停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
対策	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月11日0:00
登録日	2026年5月28日14:38
最終更新日	2026年5月28日14:38

CVSS3.0 : 重要
スコア	7.8
ベクター	CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

影響を受けるシステム

pgAdmin Project

pgAdmin 4 9.15 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-7818	https://www.cve.org/CVERecord?id=CVE-2026-7818
National Vulnerability Database (NVD)
2	CVE-2026-7818	https://nvd.nist.gov/vuln/detail/CVE-2026-7818

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-502	https://cwe.mitre.org/data/definitions/502.html

ベンダー情報

No	名前	URL
GitHub
1	Unsafe deserialization in file-backed session manager leads to RCE (CVE-2026-7818) Issue #9901 pgadmin-org/pgadmin4	https://github.com/pgadmin-org/pgadmin4/issues/9901

変更履歴

No	変更内容	変更日
1	[2026年05月28日] 掲載	2026年5月28日14:38

NVD脆弱性情報

CVE-2026-7818

概要	Deserialization of untrusted data (CWE-502) in pgAdmin 4 FileBackedSessionManager. The session manager performed unsafe deserialization of session-file contents (using Python's standard object-serialization module) before performing any HMAC integrity check. Any file dropped into the sessions directory was deserialized unconditionally. An authenticated user with write access to the sessions directory (whether by misconfiguration or in combination with another path-traversal flaw) could plant a crafted serialized payload to achieve operating-system level remote code execution under the pgAdmin process identity. Fix prepends a 64-byte hex SHA-256 HMAC over the session body, computed with SECRET_KEY, and verifies it via hmac.compare_digest before any deserialization. The check is raised (rather than asserted) on empty SECRET_KEY so it is not stripped under -O. This issue affects pgAdmin 4: before 9.15.
公表日	2026年5月12日1:17
登録日	2026年5月12日4:14
最終更新日	2026年5月14日0:34

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/pgadmin-org/pgadmin4/issues/9901	f86ef6dc-4d3a-42ad-8f28-e6d5547a5007

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-502	信頼性のないデータのデシリアライゼーション	https://cwe.mitre.org/data/definitions/502.html