El equipo de desarrollo de pgAdmin se complace en anunciar la versión 9.16 de pgAdmin 4, la cual incluye 64 correcciones de errores y nuevas características, entre ellas las soluciones aplicadas a siete vulnerabilidades de seguridad (CVE-2026-12044 a CVE-2026-12050). Para más detalles consulten las notas de la versión.

pgAdmin es la principal herramienta de código abierto para la gestión gráfica de PostgreSQL. Para más información, visiten el sitio web.

Entre los cambios más destacados de esta versión figuran:

Características

• Los encabezados de paneles y pestañas ahora adoptan el color asociado al servidor conectado, permitiendo identificar rápidamente a qué servidor corresponde cada pestaña.
• Se incorpora un enlace «Back to login» (Volver al inicio de sesión) en las páginas de recuperación y restablecimiento de contraseña.
• Se añade soporte para el parámetro de almacenamiento de destino de tuplas TOAST en el cuadro de diálogo de Vista Materializada.
• Se ha añadido la posibilidad de configurar el contexto de seguridad del contenedor de inicialización en el chart de Helm mediante el parámetro containerSecurityContext.
• Ahora es posible cerrar una pestaña con un clic del botón central del ratón sobre su título.
• El icono del botón de autenticación OAuth2 puede utilizar cualquier estilo de Font Awesome, no únicamente iconos de marca.

Correcciones de seguridad

• Se corrigió una vulnerabilidad de inyección SQL en dieciséis plantillas de diálogo que generaban instrucciones COMMENT ON ... IS '<description>'; Las plantillas afectadas ahora utilizan qtLiteral, y las llamadas relacionadas con estadísticas fueron adaptadas para enviar el OID del objeto mediante una conversión ::oid::regclass (CVE-2026-12044).
• Se corrigió una falla en el Asistente de IA que permitía eludir las restricciones de las transacciones de solo lectura. Mediante técnicas de prompt injection, era posible ejecutar y confirmar cargas útiles con múltiples sentencias fuera del entorno protegido por READ ONLY, lo que podía derivar en ejecución remota de código (RCE) utilizando COPY ... TO PROGRAM a través de una conexión con privilegios de superusuario (CVE-2026-12045).
• Se solucionó un problema en dos endpoints del Editor SQL que carecían del decorador @pga_login_required. Debido a ello, podían ser accedidos sin autenticación cuando se utilizaba el modo servidor, exponiendo además una vulnerabilidad relacionada con la deserialización de datos mediante pickle (CVE-2026-12046).
• Se solucionó una vulnerabilidad de inyección HTML en el módulo de despliegue en la nube (RDS, Azure y Google). El problema se producía porque los mensajes de excepción generados por el SDK se enviaban al navegador sin ser sanitizados y posteriormente eran renderizados utilizando html-react-parser (CVE-2026-12047).
• Se solucionó una vulnerabilidad crítica de XSS almacenado que afectaba al procesamiento de mensajes de error de PostgreSQL y al contenido de nodos de planes EXPLAIN. Estos datos eran interpretados mediante html-react-parser en notificaciones, errores de formularios, ventanas de alerta y el visualizador de planes de ejecución. Un script inyectado podía exfiltrar credenciales de servidores almacenadas y ejecutar sentencias SQL en todos los servidores conectados (CVE-2026-12048).
• Se solucionó una vulnerabilidad de redirección abierta en el proceso de autenticación multifactor, provocada por la falta de validación del parámetro next (CVE-2026-12049).
• Se solucionó una vulnerabilidad de inyección SQL en el endpoint de creación de puntos de restauración con nombre. El nombre proporcionado por el usuario se incorporaba directamente a la consulta SQL mediante str.format()en lugar de utilizar parámetros seguros (CVE-2026-12050).

Corrección de errores/Mantenimiento:

• Se eliminó la excepción que permitía al rol de administrador omitir las funciones auxiliares de acceso al servidor, garantizando que las verificaciones de control de acceso introducidas en la versión 9.15 (CVE-2026-7813) se apliquen de forma consistente en todos los casos.
• Se retiró el soporte para despliegues en la nube mediante EDB BigAnimal, una funcionalidad que ya había sido declarada obsoleta en la versión 9.15.
• Ahora el editor JSON conserva el formato original de los valores numéricos jsonb, evitando que los ceros decimales finales o los enteros de gran tamaño sean reformateados al guardar registros que no han sido modificados.
• Se corrigió un problema en la función Ver/Editar Datos que provocaba una caída cuando la sesión incluía un objeto de transacción sin capacidad de filtrado, situación que podía impedir la carga de la aplicación de escritorio después de una actualización.
• Se actualizaron las plantillas SQL dependientes de la versión para que PostgreSQL 14, la versión más antigua actualmente soportada, sea el objetivo predeterminado, eliminando las plantillas heredadas para versiones anteriores.
• Se eliminó del paquete para macOS el código correspondiente a arquitecturas no utilizadas, evitando que las compilaciones de arquitectura única incluyan componentes innecesarios.
• Se actualizó Electron a la versión 42.3.3, cryptography a la versión 49.0, junto con otras dependencias de Python y JavaScript.
• Se actualizó la traducción al italiano.

Funcionalidades obsoletas

• pgAgent ha quedado obsoleto y será descontinuado. Será retirado del sitio web en el plazo de un mes, mientras que el soporte integrado en pgAdmin se eliminará aproximadamente seis meses después. Se recomienda a los usuarios planificar la migración hacia otra herramienta de programación de tareas.

Ya están disponibles las versiones para Windows, macOS, Python Wheel, contenedor Docker, RPM, paquete DEB y el código fuente en formato tarball en la sección de descargas.