pgAdmin 4 存储型 XSS（CVE-2026-7814）

前言

参考披露的报告复现

• 影响产品：pgAdmin 4

• 受影响版本：< 9.15

漏洞复现

环境搭建

主要如下：

• pgAdmin 9.14（受影响版）

• PostgreSQL 17

• Python3

• Node.js 18+

漏洞代码

参考官网给出的 fix 部分

利用链

新建一个数据库，然后在 Schemas 中创建表

表名为 XSS Payload

右键表选择 Reset …… 选项

弹窗发现 a 标签被加载渲染