PostgreSQL 生态中最广为人知的图形化管理工具 pgAdmin 4近日被安全团队披露存在三个严重缺陷。这三个漏洞的 CVSS v4 评分分别达到了 9.5、9.4 和 9.3全部属于严重级别。攻击者一旦得手轻则通过存储型 XSS 劫持管理会话重则直接在目标服务器上执行远程代码。目前官方已在 9.16 版本中完成了全部修复尚未观察到野外利用案例但鉴于漏洞细节与补丁同步公开留给管理员缓冲的时间窗口并不宽裕。为什么 pgAdmin 的安全问题牵一发而动全身pgAdmin 4 在全球范围内拥有庞大的用户基数几乎成了 PostgreSQL 管理工具的默认选项。从个人开发者到企业 DBA大量运维人员依赖它完成日常的数据库连接、查询编写和性能监控。问题在于很多团队为了便于协作会选择以服务器模式Server Mode部署 pgAdmin。这种配置下多个用户通过浏览器共享访问同一个 pgAdmin 实例一旦该实例本身存在安全缺陷攻击面就不再局限于单台数据库而是可能波及整个内部网络。这次曝光的三个漏洞恰好覆盖了不同的攻击路径Web 层面的 XSS 注入、服务端点的身份认证绕过以及 AI 功能的提示注入。三者叠加意味着攻击者可以从多个维度渗透进系统。存储型 XSS恶意表名就能植入攻击代码CVE-2026-12048 是一个典型的存储型跨站脚本漏洞CVSS 评分为 9.3。问题的根源出在 pgAdmin 4 渲染 PostgreSQL 错误消息和 Explain Plan 节点的方式上。当数据库返回的文本包含 HTML 标签时pgAdmin 内部使用的 html-react-parser 组件未能进行有效过滤导致恶意脚本直接注入到页面 DOM 中。攻击门槛相当低。一个权限普通的用户只需要创建一个精心命名的表就能让 pgAdmin 在渲染过程中执行嵌入的 iframe 或 JavaScript 代码。更棘手的是由于恶意内容是从 pgAdmin 自身界面内部加载的传统的 X-Frame-Options 等帧阻断策略形同虚设。攻击者可以构造出与正版 pgAdmin 对话框几乎一致的钓鱼页面诱导管理员输入敏感凭证。开发团队在修复时引入了 DOMPurify 对渲染路径进行净化处理从源头上阻断了这类注入。未经认证即可触发的远程代码执行如果说 XSS 让人警惕那么 CVE-2026-12046 则足以让运维人员脊背发凉。这个漏洞的 CVSS 评分高达 9.5是此次披露中最危险的一个。问题的核心在于 pgAdmin 4 的 SQL 编辑器有两个端点遗漏了登录验证装饰器。在服务器模式下这意味着攻击者无需任何账号密码就能直接向这些端点发送请求。这两个端点涉及 pickle 反序列化操作。Python 的 pickle 模块在反序列化不可信数据时历来是远程代码执行的重灾区。攻击者若能构造特定的序列化载荷就有可能在 pgAdmin 所在的服务器上执行任意命令。不过完整的攻击链还需要两个额外条件获取 pgAdmin 的私钥以及具备向会话目录写入文件的权限。换句话说这个漏洞更像是攻击者在已经突破部分防线后的临门一脚但即便如此其潜在危害也不容小觑。修复方案简洁而直接为这两个端点补上缺失的登录验证装饰器拒绝一切未经认证的访问。AI 助手被策反只读事务的防线形同虚设第三个漏洞 CVE-2026-12045 针对的是 pgAdmin 4 内置的 AI 助手功能CVSS 评分为 9.4。这个助手的设计初衷是帮助用户生成 SQL 查询为了安全起见它默认在只读事务中运行生成的代码防止误操作或恶意指令破坏数据。然而安全研究人员发现通过提示注入Prompt Injection手段攻击者可以构造多语句载荷。前半段语句正常执行随后悄然关闭只读事务后续语句便会在自动提交模式下运行。如果攻击者事先在数据库对象中植入了恶意文本就能诱导 AI 助手执行非预期的写入操作。一旦该助手连接的是具有超级用户权限的账号甚至可以通过 PostgreSQL 的COPY TO PROGRAM命令直接执行系统级指令。官方补丁对此的应对策略是限制 AI 助手只能执行单条只读语句彻底封堵了多语句绕过的可能性。升级到 9.16 是目前最稳妥的应对pgAdmin 开发团队已经在 9.16 版本中一次性修复了上述全部三个漏洞。考虑到漏洞评分均已突破 9.0且补丁细节已经公开继续停留在旧版本的风险正在快速累积。建议管理员尽快规划升级尤其是采用服务器模式部署的环境更应优先处理。除了升级版本之外还有几条安全实践值得同步落实对 pgAdmin 实例启用网络层访问控制避免直接暴露在公网为 AI 助手功能配置最小权限账号杜绝使用超级用户连接将数据库服务器返回的异常文本视为不可信输入保持对异常表名和字段名的警觉定期检查 pgAdmin 的日志记录留意来自未认证端点的异常请求。pgAdmin 4 作为 PostgreSQL 生态的基石工具其安全性直接影响无数数据库的命脉。这次漏洞的集中爆发既是一次警示也提醒我们在引入 AI 功能的同时必须重新审视每一个可能的安全边界。升级、加固、保持警觉——这三件事现在就该做。