PostgreSQL Global Development Group ha lanzado actualizaciones de seguridad para abordar una vulnerabilidad de severidad alta en PostgreSQL. La vulnerabilidad identificada como CVE-2024-0985 con puntuación CVSS 3.x de 8.00, permite a un creador de objetos ejecutar funciones SQL arbitrarias como emisor de comandos con escalamiento de privilegios.
Productos afectados:
-versiones PostgreSQL desde la 12 hasta la 15
Impacto:
La vulnerabilidad podría permitir a un actor malicioso ejecutar funciones SQL como propietario de la vista materializada, lo que permitiría una actualización segura de vistas materializadas que no son de confianza.
Recomendación:
Se recomienda aplicar las últimas actualizaciones disponibles en la página oficial de PostgreSQL.
Enlaces de referencia:
- https://www.postgresql.org/support/security/CVE-2024-0985/
- https://www.incibe.es/incibe-cert/alerta-temprana/vulnerabilidades/cve-2024-0985
- https://www.csirt.gov.it/contenuti/rilevate-vulnerabilita-in-postgresql-al02-240209-csirt-ita