CERT-Bund meldet kritische Schwachstelle in pgAdmin

Nach Angaben von CERT-Bund ermöglicht eine neu entdeckte Sicherheitslücke in der Datenbankverwaltungssoftware pgAdmin einem entfernten, authentifizierten Angreifer die unautorisierte Offenlegung von Informationen. Die Meldung trägt die Kennzeichnung WID-SEC-2026-0323 und wurde am 23. April 2026 veröffentlicht.

Technische Beschreibung

Die betroffene Komponente erlaubt es einem Angreifer, über eine manipulierte Anfrage auf interne Datenbankabfragen zuzugreifen. Durch die Ausnutzung des Fehlers kann der Angreifer Daten aus dem System extrahieren, ohne dass eine weitere Authentifizierung erforderlich ist.

Ausnutzungsbedingungen

Der Angriff setzt voraus, dass der Angreifer bereits über gültige Anmeldedaten verfügt. Sobald diese Voraussetzung erfüllt ist, kann die Schwachstelle aus der Ferne ausgenutzt werden, wodurch sensible Konfigurationsdaten und Benutzerdaten preisgegeben werden können.

Betroffene Versionen

Laut der Sicherheitsmitteilung sind alle Versionen von pgAdmin, die vor dem Release vom 15. März 2026 veröffentlicht wurden, von der Lücke betroffen. Neuere Versionen, die nach diesem Datum erschienen sind, enthalten bereits einen Patch, der das Problem behebt.

Empfohlene Gegenmaßnahmen

Betroffene Betreiber sollten umgehend auf die aktuelle Version von pgAdmin aktualisieren. Zusätzlich wird empfohlen, die Zugriffsrechte von Benutzerkonten zu überprüfen und sicherzustellen, dass nur notwendige Berechtigungen vergeben werden. Eine Überwachung von ungewöhnlichen Zugriffsmustern kann weitere Risiken mindern.

Weiteres Vorgehen

Cert-Bund rät dazu, die offizielle Sicherheitsberatung zu konsultieren und gegebenenfalls weitere Hardening-Maßnahmen für das Datenbankmanagementsystem zu implementieren. Für Rückfragen steht das CERT-Bund‑Team per E‑Mail zur Verfügung.

Dieser Bericht basiert auf Informationen von CERT-Bund, lizenziert unter Amtliches Werk gem. § 5 UrhG (Deutschland).