Se han descubierto vulnerabilidades de severidad alta en productos PostgreSQL. Un actor malicioso podría ejecutar código arbitrario con los privilegios del usuario del sistema operativo que ejecuta la base de datos, obtener privilegios elevados o acceder a información confidencial de los sistemas afectados.
Productos afectados
- PostgreSQL 18.x, versiones anteriores a 18.2.
- PostgreSQL 17.x, versiones anteriores a 17.8.
- PostgreSQL 16.x, versiones anteriores a 16.12.
- PostgreSQL 15.x, versiones anteriores a 15.16.
- PostgreSQL 14.x, versiones anteriores a 14.21.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-2004: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de validación incorrecta del tipo de entrada en la función de estimación de la extensión intarray. Un actor malicioso con permisos para crear objetos podría explotar esta vulnerabilidad para ejecutar código arbitrario como el usuario del sistema operativo que ejecuta la base de datos.
CVE-2026-2005: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de búfer del heap en la extensión pgcrypto. Un actor malicioso autenticado como usuario de la base de datos podría ejecutar código arbitrario con los privilegios del usuario del sistema operativo que ejecuta la base de datos.
CVE-2026-2006: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de validación incorrecta del índice de un arreglo al manipular caracteres multibyte. Un actor malicioso autenticado podría emitir consultas diseñadas para provocar un desbordamiento de búfer y ejecutar código arbitrario como el usuario del sistema operativo que ejecuta la base de datos.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias