PostgreSQL ha lanzado actualizaciones de seguridad para corregir nuevas vulnerabilidades, incluidas 3 con severidad alta. Esto podría permitir a un actor malicioso acceder y manipular archivos no autorizados, desbordamiento de búfer y la ejecución de código arbitrario.
Productos afectados
PostgreSQL
- 18.x, versiones anteriores a la 18.4
- 17.x, versiones anteriores a la 17.10
- 16.x, versiones anteriores a la 16.14
- 15.x, versiones anteriores a la 15.18
- 14.x, versiones anteriores a la 14.23
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-6475: con una puntuación de 8.8 en CVSS v3.1. Se ha detectado una vulnerabilidad al abrir un archivo o directorio, el producto no tiene suficientemente en cuenta los casos en que el archivo es un enlace simbólico que apunta a un destino fuera del ámbito de control previsto. Esto podría permitir que un actor malicioso haga que el producto opere con archivos no autorizados.
CVE-2026-6477: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad donde el producto invoca una función cuyo funcionamiento seguro nunca puede garantizarse. La función gets() es insegura porque no realiza comprobaciones de límites en el tamaño de su entrada. Un actor malicioso puede fácilmente enviar una entrada de tamaño arbitrario a gets() y desbordar el búfer de destino.
CVE-2026-6473: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad donde el producto realiza un cálculo que puede producir un desbordamiento de enteros o un bucle infinito cuando la lógica asume que el valor resultante siempre será mayor que el valor original, esto podría conducir a la ejecución de código arbitrario.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias