Se ha lanzado la versión 9.16 de pgAdmin 4, la popular herramienta de gestión de PostgreSQL. Esta actualización incluye 64 correcciones de errores y resuelve siete vulnerabilidades de seguridad (desde CVE-2026-12044 hasta CVE-2026-12050), con el objetivo de reforzar la plataforma.

Se ha lanzado la versión 9.16 de pgAdmin 4, que ofrece una combinación de nuevas funciones, correcciones de errores y actualizaciones de seguridad críticas para fortalecer la ampliamente utilizada plataforma de gestión de PostgreSQL.

La actualización incluye 64 correcciones de errores y aborda siete vulnerabilidades de seguridad, rastreadas desde CVE-2026-12044 hasta CVE-2026-12050.

pgAdmin sigue siendo una de las herramientas gráficas de código abierto más populares para gestionar bases de datos PostgreSQL, lo que hace que estas correcciones de seguridad sean especialmente importantes para los despliegues empresariales y en la nube, donde la plataforma se utiliza comúnmente para el acceso administrativo.

Un aspecto destacado de este lanzamiento es la remediación de múltiples vulnerabilidades de alto impacto, incluidos fallos de inyección SQL y problemas de cross-site scripting (XSS).

Una de las vulnerabilidades más críticas, CVE-2026-12044, implicaba la inyección SQL en dieciséis plantillas de diálogo donde la entrada controlada por el usuario no se manejaba adecuadamente.

Este fallo ha sido mitigado cambiando a métodos de manejo de consultas más seguros y mecanismos de conversión (casting) adecuados.

Otro problema grave, rastreado como CVE-2026-12045, permitía a los atacantes omitir las restricciones de transacciones de solo lectura en la función del Asistente de IA.

Lanzamiento de pgAdmin 4

Al explotar la inyección de prompts, los atacantes podían ejecutar cargas útiles de múltiples sentencias y, potencialmente, lograr la ejecución remota de código a través de la capacidad “COPY TO PROGRAM” de PostgreSQL cuando se conectaban con privilegios elevados.

También se abordaron debilidades en la autenticación y el control de acceso. El CVE-2026-12046 exponía dos endpoints del Editor SQL que carecían de comprobaciones de autenticación adecuadas.

Esto permitía el acceso no autorizado e introducía un riesgo de deserialización. La corrección garantiza que todos los endpoints apliquen ahora la validación de inicio de sesión requerida.

También se resolvieron varias vulnerabilidades del lado del cliente. El CVE-2026-12048, un problema crítico de cross-site scripting almacenado, permitía que scripts maliciosos incrustados en mensajes de error de PostgreSQL o planes de consulta se ejecutaran dentro de la interfaz de pgAdmin.

Esto podría conducir al robo de credenciales y a operaciones de base de datos no autorizadas en las conexiones activas.

Además, el CVE-2026-12047 corrigió un problema de inyección HTML en las integraciones de despliegue en la nube donde los mensajes de error del SDK no saneados se renderizaban en el navegador.

El lanzamiento también corrige una vulnerabilidad de redirección abierta en los flujos de autenticación de múltiples factores (CVE-2026-12049) y otro fallo de inyección SQL en la funcionalidad de punto de restauración (CVE-2026-12050), los cuales permitían que la entrada del usuario se insertara en consultas SQL sin la parametrización adecuada.

Más allá de la seguridad, pgAdmin 4 v9.16 introduce varias mejoras de usabilidad. Ahora puedes colorear los paneles y los encabezados de las pestañas según el servidor conectado, haciendo que la gestión de múltiples servidores sea más intuitiva.

Se ha añadido una función para cerrar pestañas haciendo clic con el botón central, junto con mejoras en la personalización del inicio de sesión OAuth2 y la navegación para restablecer contraseñas.

Las actualizaciones adicionales incluyen soporte para nuevos parámetros de almacenamiento de PostgreSQL, mejoras en el manejo de JSON y actualizaciones de dependencias, incluyendo Electron 42.3.3 y librerías de criptografía actualizadas.

El gráfico de Helm ahora permite contextos de seguridad de contenedores configurables, mejorando la flexibilidad de despliegue en entornos de Kubernetes.

El lanzamiento también impone controles de acceso más estrictos al eliminar una omisión del rol de administrador identificada previamente. Alinea las plantillas SQL con PostgreSQL 14, la versión más antigua soportada.

En cuanto a las depreciaciones, pgAgent ha sido marcado oficialmente para su eliminación, y se te aconseja migrar a soluciones alternativas de programación de trabajos en los próximos meses.

La versión 9.16 de pgAdmin 4 ya está disponible para descargar en múltiples plataformas, incluyendo paquetes para Windows, macOS, Linux, contenedores Docker y distribuciones de Python.

Se recomienda encarecidamente a las organizaciones que actualicen rápidamente para mitigar el riesgo que suponen estas vulnerabilidades y beneficiarse de las últimas mejoras.