pgAdmin 4 v9.15 发布
发布于 2026-05-11,pgAdmin Development Team
相关开源软件
pgAdmin 开发团队很高兴宣布发布 pgAdmin 4 9.15 版。
本次发布包含 19 项问题修复与新特性。详细信息请参阅发行说明:
- https://www.pgadmin.org/docs/pgadmin4/9.15/release_notes_9_15.html
pgAdmin 是面向 PostgreSQL 的领先开源图形化管理工具。更多信息:
本次版本主要变化包括:
新特性
- 允许通过
PUID 与 PGID 环境变量,让 Docker 镜像以非默认用户运行。
修复/维护
- 修复服务器模式下跨用户数据访问与共享服务器权限提升问题(CVE-2026-7813)。
- 作为数据隔离加固的后续工作,进一步收紧 Shared Server 功能的一致性、仅所有者可写字段处理,以及写入保护。
- 修复通过精心构造的 PostgreSQL 对象名在 Browser Tree 与 Explain Visualizer 中渲染导致的存储型 XSS(CVE-2026-7814)。
- 修复 Maintenance 工具中选项值导致的 SQL 注入(CVE-2026-7815)。
- 修复 Import/Export 查询导出中的操作系统命令注入(CVE-2026-7816)。
- 修复 LLM API 配置端点中的本地文件包含(LFI)与服务器端请求伪造(SSRF)(CVE-2026-7817)。
- 修复会话管理器中的不安全反序列化,可能导致远程代码执行(CVE-2026-7818)。同时:使用 Fernet 对会话文件进行静态加密;将会话文件与
DATA_DIR 权限限制为 0o600;将会话摘要默认算法从 SHA-1 改为 SHA-256;并移除若干无法往返序列化(non-roundtrippable)的运行时对象。
- 修复文件管理器中基于符号链接的路径穿越(CVE-2026-7819)。
- 修复 Flask-Security 默认
/login 视图的账号锁定绕过问题,确保在每条认证路径上都正确处理 locked 字段(CVE-2026-7820)。
- Debian 安装脚本对
a2enmod 与 a2enconf 使用绝对路径,避免当 /usr/sbin 不在 PATH 时失败。
- 升级 Python 与 JavaScript 运行时/开发依赖,并将 ESLint 升级到 v10。
- 更新捷克语、意大利语、俄语、西班牙语与瑞典语翻译。
弃用
- BigAnimal 云部署集成已弃用,并将在下一个 pgAdmin 4 版本中移除。
Windows 与 macOS 现已提供构建版本,同时也提供 Python Wheel、Docker 容器、RPM、DEB 包以及源码包:
- https://www.pgadmin.org/download/