<?xml version="1.0" encoding="UTF-8"?>
<VrdaData refvuldefversion="1.2" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://vrda.jpcert.or.jp" xsi:schemaLocation="http://vrda.jpcert.or.jp/feed/xsd/vrda_data.xsd">
  <VrdaDataProvider>
    <Name>JVN iPedia</Name>
    <URL>http://jvndb.jvn.jp</URL>
  </VrdaDataProvider>
  <VrdaDataSourceType>Advisory</VrdaDataSourceType>
  <Vulinfo revisionno="1" lang="ja" invalidated="false">
    <VulinfoID>JVNDB-2026-021621</VulinfoID>
    <VulinfoData>
      <Title>pgAdmin Project&#12398;pgAdmin 4&#12395;&#12362;&#12369;&#12427;&#35079;&#25968;&#12398;&#33030;&#24369;&#24615;</Title>
      <VulinfoDescription>
        <Overview>pgAdmin 4&#12398;&#12456;&#12521;&#12540;&#12524;&#12531;&#12480;&#12522;&#12531;&#12464;&#12362;&#12424;&#12403;&#12503;&#12521;&#12531;&#12494;&#12540;&#12489;&#12524;&#12531;&#12480;&#12522;&#12531;&#12464;&#32076;&#36335;&#12395;&#12463;&#12525;&#12473;&#12469;&#12452;&#12488;&#12473;&#12463;&#12522;&#12503;&#12486;&#12451;&#12531;&#12464;&#12398;&#33030;&#24369;&#24615;&#12364;&#12354;&#12426;&#12414;&#12377;&#12290;PostgreSQL&#12469;&#12540;&#12496;&#12540;&#12363;&#12425;&#36820;&#12373;&#12428;&#12427;&#12486;&#12461;&#12473;&#12488;&#65288;ErrorResponse&#12513;&#12483;&#12475;&#12540;&#12472;&#12289;&#12522;&#12524;&#12540;&#12471;&#12519;&#12531;&#12364;&#23384;&#22312;&#12375;&#12394;&#12356;&#12456;&#12521;&#12540;&#20869;&#12398;&#12458;&#12502;&#12472;&#12455;&#12463;&#12488;&#21517;&#24341;&#29992;&#12420;&#12289;EXPLAIN&#12398;Recheck Cond / Exact Heap Blocks&#12501;&#12451;&#12540;&#12523;&#12489;&#20869;&#12398;&#12486;&#12461;&#12473;&#12488;&#12394;&#12393;&#65289;&#12399;&#12289;html-react-parser&#12434;&#36890;&#12376;&#12390;&#12518;&#12540;&#12470;&#12540;&#12395;&#34920;&#31034;&#12373;&#12428;&#12427;&#20840;&#12390;&#12398;&#22580;&#25152;&#65288;&#36890;&#30693;&#12488;&#12540;&#12473;&#12488;&#12289;FormFooterMessage / FormInput&#12398;&#12504;&#12523;&#12503;&#12362;&#12424;&#12403;&#12456;&#12521;&#12540;&#38936;&#22495;&#12289;FormNote&#12289;ModalProvider&#12398;AlertContent&#12362;&#12424;&#12403;confirmDelete&#12289;ToolErrorView&#12289;Explain&#12499;&#12472;&#12517;&#12450;&#12521;&#12452;&#12470;&#12540;&#12398;NodeText&#12497;&#12493;&#12523;&#12289;SQL&#12456;&#12487;&#12451;&#12479;&#12398;&#30906;&#35469;&#12480;&#12452;&#12450;&#12525;&#12464;&#12289;ConfirmSaveContent&#12289;PreferencesHelper&#12398;&#12514;&#12540;&#12480;&#12523;&#12450;&#12521;&#12540;&#12488;&#12289;&#12362;&#12424;&#12403;SelectThemes&#12398;&#12504;&#12523;&#12497;&#12540;&#12486;&#12461;&#12473;&#12488;&#65289;&#12395;&#12381;&#12398;&#12414;&#12414;&#28193;&#12373;&#12428;&#12390;&#12356;&#12414;&#12375;&#12383;&#12290;&#25915;&#25731;&#32773;&#12364;&#21046;&#24481;&#12377;&#12427;PostgreSQL&#12469;&#12540;&#12496;&#12540;&#12420;&#12289;&#20302;&#27177;&#38480;&#12398;&#12487;&#12540;&#12479;&#12505;&#12540;&#12473;&#12518;&#12540;&#12470;&#12540;&#12364;&#20316;&#25104;&#21487;&#33021;&#12394;&#12486;&#12540;&#12502;&#12523;&#21517;&#12420;&#12459;&#12521;&#12512;&#21517;&#12394;&#12393;&#12289;&#25915;&#25731;&#32773;&#12364;&#25805;&#20316;&#12375;&#12383;&#12486;&#12461;&#12473;&#12488;&#12434;&#36820;&#12377;&#20219;&#24847;&#12398;&#12469;&#12540;&#12496;&#12540;&#12399;&#12289;&#34987;&#23475;&#32773;&#12398;pgAdmin&#12364;&#12381;&#12398;&#12469;&#12540;&#12496;&#12540;&#12395;&#25509;&#32154;&#12375;&#12383;&#30636;&#38291;&#12420;&#12289;&#32048;&#24037;&#12373;&#12428;&#12383;&#12458;&#12502;&#12472;&#12455;&#12463;&#12488;&#12434;&#21442;&#29031;&#12377;&#12427;Explain&#12503;&#12521;&#12531;&#12434;&#38322;&#35239;&#12375;&#12383;&#26178;&#28857;&#12391;&#12289;&#20219;&#24847;&#12398;HTML&#65288;iframe&#12434;&#21547;&#12416;&#65289;&#12434;pgAdmin&#12398;DOM&#12395;&#27880;&#20837;&#12391;&#12365;&#12414;&#12375;&#12383;&#12290;&#27880;&#20837;&#12373;&#12428;&#12383;iframe&#12398;srcdoc&#12399;&#25915;&#25731;&#32773;&#12364;&#25552;&#20379;&#12377;&#12427;JavaScript&#12434;&#21462;&#24471;&#12391;&#12365;&#12289;parent.location&#12434;&#26360;&#12365;&#25563;&#12360;&#12427;&#12371;&#12392;&#12391;&#34987;&#23475;&#32773;&#12398;&#12488;&#12483;&#12503;&#12524;&#12505;&#12523;&#12398;pgAdmin&#12502;&#12521;&#12454;&#12470;&#12479;&#12502;&#12434;&#25915;&#25731;&#32773;&#21046;&#24481;&#12398;URL&#12395;&#12522;&#12480;&#12452;&#12524;&#12463;&#12488;&#21487;&#33021;&#12391;&#12377;&#12290;&#12371;&#12398;&#27880;&#20837;&#12399;pgAdmin&#12398;&#33258;&#21069;&#12398;&#12452;&#12531;&#12479;&#12540;&#12501;&#12455;&#12540;&#12473;&#20869;&#12363;&#12425;&#30330;&#29983;&#12377;&#12427;&#12383;&#12417;&#12289;&#27161;&#28310;&#30340;&#12394;&#12450;&#12531;&#12481;&#12463;&#12522;&#12483;&#12463;&#12472;&#12515;&#12483;&#12461;&#12531;&#12464;&#21046;&#24481;&#65288;X-Frame-Options&#12289;Content-Security-Policy&#12398;frame-ancestors&#65289;&#12391;&#12399;&#12371;&#12398;&#21839;&#38988;&#12434;&#32233;&#21644;&#12391;&#12365;&#12414;&#12379;&#12435;&#12290;&#27491;&#24403;&#12394;pgAdmin&#12454;&#12451;&#12531;&#12489;&#12454;&#20869;&#12395;&#34920;&#31034;&#12373;&#12428;&#12427;&#12501;&#12451;&#12483;&#12471;&#12531;&#12464;&#12506;&#12540;&#12472;&#12399;&#12289;&#26412;&#29289;&#12398;pgAdmin&#12480;&#12452;&#12450;&#12525;&#12464;&#12392;&#21306;&#21029;&#12364;&#12388;&#12365;&#12414;&#12379;&#12435;&#12290;&#23550;&#24540;&#31574;&#12399;3&#12388;&#12398;&#35036;&#23436;&#30340;&#12394;&#23652;&#12391;&#27083;&#25104;&#12373;&#12428;&#12390;&#12356;&#12414;&#12377;&#12290; (1) notifier&#12289;alert&#12289;form-error&#12289;Explain&#12289;&#12362;&#12424;&#12403;SQL&#12456;&#12487;&#12451;&#12479;&#12398;&#12501;&#12525;&#12540;&#12363;&#12425;&#21040;&#36948;&#21487;&#33021;&#12394;html-react-parser&#12398;&#21628;&#12403;&#20986;&#12375;&#31623;&#25152;&#12377;&#12409;&#12390;&#12395;&#23550;&#12375;&#12390;DOMPurify&#12395;&#12424;&#12427;&#12469;&#12491;&#12479;&#12452;&#12474;&#20966;&#29702;&#12434;&#36969;&#29992;&#12375;&#12414;&#12375;&#12383;&#12290; (2) &#26032;&#12383;&#12395;&#12503;&#12524;&#12540;&#12531;&#12486;&#12461;&#12473;&#12488;&#12524;&#12531;&#12480;&#12522;&#12531;&#12464;&#22865;&#32004;&#65288;SafeMessage / SafeHtmlMessage&#12467;&#12531;&#12509;&#12540;&#12493;&#12531;&#12488;&#12362;&#12424;&#12403;Notifier.errorText / alertText / warningText / infoText / successText&#12504;&#12523;&#12497;&#12540;&#65289;&#12434;&#23566;&#20837;&#12375;&#12289;&#12502;&#12521;&#12454;&#12470;&#12289;&#12484;&#12540;&#12523;&#12289;&#12480;&#12483;&#12471;&#12517;&#12508;&#12540;&#12489;&#12289;&#12487;&#12496;&#12483;&#12460;&#12540;&#12289;&#12511;&#12473;&#12463;&#12289;llm&#12289;&#35373;&#23450;&#12289;&#12473;&#12461;&#12540;&#12510;&#24046;&#20998;&#12289;SQL&#12456;&#12487;&#12451;&#12479;&#12391;&#20197;&#21069;&#12399;&#12496;&#12483;&#12463;&#12456;&#12531;&#12489;&#30001;&#26469;&#12398;&#25991;&#23383;&#21015;&#12434;&#35036;&#38291;&#12375;&#12390;&#12356;&#12383;&#32004;50&#31623;&#25152;&#12398;&#21628;&#12403;&#20986;&#12375;&#12434;&#12503;&#12524;&#12540;&#12531;&#12486;&#12461;&#12473;&#12488;&#12496;&#12522;&#12450;&#12531;&#12488;&#12395;&#31227;&#34892;&#12375;&#12414;&#12375;&#12383;&#12290; (3) &#12496;&#12483;&#12463;&#12456;&#12531;&#12489;&#20596;&#12391;&#12418;execute_post_connection_sql&#12495;&#12531;&#12489;&#12521;&#12540;&#12391;sanitize_external_text&#12504;&#12523;&#12497;&#12540;&#12434;&#36890;&#12376;&#12390;HTML&#12456;&#12473;&#12465;&#12540;&#12503;&#12434;&#23455;&#26045;&#12375;&#12289;&#12469;&#12540;&#12489;&#12497;&#12540;&#12486;&#12451;&#12398;JSON&#12467;&#12531;&#12471;&#12517;&#12540;&#12510;&#65288;&#30435;&#26619;&#12525;&#12464;&#12289;API&#12463;&#12521;&#12452;&#12450;&#12531;&#12488;&#65289;&#12395;&#29983;&#12398;&#12510;&#12540;&#12463;&#12450;&#12483;&#12503;&#12434;&#36865;&#20449;&#12375;&#12394;&#12356;&#12424;&#12358;&#12395;&#23550;&#24540;&#12375;&#12414;&#12375;&#12383;&#12290;Explain&#12503;&#12521;&#12531;&#24773;&#22577;&#12398;&#12524;&#12531;&#12480;&#12540;&#37096;&#12395;&#12399;Recheck Cond&#12392;Exact Heap Blocks&#12418;_.escape&#12391;&#20445;&#35703;&#12375;&#65288;&#12377;&#12409;&#12390;&#12398;&#38306;&#36899;&#12501;&#12451;&#12540;&#12523;&#12489;&#12395;&#23550;&#24540;&#65289;&#12289;DOMPurify&#23455;&#34892;&#21069;&#12363;&#12425;&#12398;&#22810;&#23652;&#38450;&#24481;&#12434;&#23455;&#29694;&#12375;&#12390;&#12356;&#12414;&#12377;&#12290;&#12371;&#12398;&#21839;&#38988;&#12399;pgAdmin 4&#12398;&#12496;&#12540;&#12472;&#12519;&#12531;6.0&#12363;&#12425;9.16&#26410;&#28288;&#12395;&#24433;&#38911;&#12375;&#12414;&#12377;&#12290;</Overview>
      </VulinfoDescription>
      <Affected>
        <AffectedItem affectedstatus="vulnerable">
          <Lapt>cpe:/a:pgadmin:pgadmin_4</Lapt>
        </AffectedItem>
      </Affected>
      <FactAnalysis>
      </FactAnalysis>
      <Related>
        <RelatedItem relationtype="self" origin="jvnipedia">
          <URL>https://jvndb.jvn.jp/ja/contents/2026/JVNDB-2026-021621.html</URL>
        </RelatedItem>
        <RelatedItem relationtype="alternate" origin="other">
          <Name>Common Vulnerabilities and Exposures (CVE)</Name>
          <VulinfoID>CVE-2026-12048</VulinfoID>
          <URL>https://www.cve.org/CVERecord?id=CVE-2026-12048</URL>
        </RelatedItem>
        <RelatedItem relationtype="alternate" origin="other">
          <Name>National Vulnerability Database (NVD)</Name>
          <VulinfoID>CVE-2026-12048</VulinfoID>
          <URL>https://nvd.nist.gov/vuln/detail/CVE-2026-12048</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>JVNDB</Name>
          <VulinfoID>CWE-79</VulinfoID>
          <Title>&#12463;&#12525;&#12473;&#12469;&#12452;&#12488;&#12473;&#12463;&#12522;&#12503;&#12486;&#12451;&#12531;&#12464;</Title>
          <URL>https://jvndb.jvn.jp/ja/cwe/CWE-79.html</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>JVNDB</Name>
          <VulinfoID>CWE-116</VulinfoID>
          <Title>&#19981;&#36969;&#20999;&#12394;&#12456;&#12531;&#12467;&#12540;&#12489;&#12289;&#12414;&#12383;&#12399;&#20986;&#21147;&#12398;&#12456;&#12473;&#12465;&#12540;&#12503;</Title>
          <URL>https://cwe.mitre.org/data/definitions/116.html</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>&#38306;&#36899;&#25991;&#26360;</Name>
          <VulinfoID>fix(xss): comprehensive XSS hardening across notification and Explain&#8230;  pgadmin-org/pgadmin4@9e370d3  GitHub</VulinfoID>
          <URL>https://github.com/pgadmin-org/pgadmin4/commit/9e370d3cb67b83b3945f82969c959fad3f926517</URL>
        </RelatedItem>
        <RelatedItem relationtype="reference" origin="other">
          <Name>&#38306;&#36899;&#25991;&#26360;</Name>
          <VulinfoID>Stored XSS via PostgreSQL server error messages and Explain plan nodes (CVE-2026-12048)  Issue #10068  pgadmin-org/pgadmin4</VulinfoID>
          <URL>https://github.com/pgadmin-org/pgadmin4/issues/10068</URL>
        </RelatedItem>
      </Related>
      <DateFirstPublished>2026-06-30T11:23:33+09:00</DateFirstPublished>
      <DateLastUpdated>2026-06-30T11:23:33+09:00</DateLastUpdated>
    </VulinfoData>
  </Vulinfo>
</VrdaData>
