Se han detectado 4 vulnerabilidades en el sistema de gestión de base de datos PostgreSQL, incluyendo una vulnerabilidad de severidad alta. Estas vulnerabilidades permitirían la ejecución de código arbitrario.
Productos Afectados
PostgreSQL 17 – Versiones anteriores a 17.1
PostgreSQL 16 – Versiones anteriores a 16.5
PostgreSQL 15 – Versiones anteriores a 15.9
PostgreSQL 14 – Versiones anteriores a 14.14
PostgreSQL 13 – Versiones anteriores a 13.17
PostgreSQL 12 – Versiones anteriores a 12.21
Impacto
La vulnerabilidad de severidad alta se identifica como:
CVE-2024-10979: Puntuación CVSS 8.8. Un control incorrecto de las variables de entorno permitiría a un atacante de bajos privilegios realizar modificaciones a variables sensibles y ejecutar código arbitrario.
Las demás vulnerabilidades se identifican como:
CVE-2024-10976: Puntuación CVSS 4.2, severidad media. Una vulnerabilidad en las políticas de seguridad para filas de una tabla permitirían a un atacante realizar lecturas y modificaciones no permitidas.
CVE-2024-10978: Puntuación CVSS 4.2, severidad media. Una asignación incorrecta de privilegios permitiría a un atacante de bajos privilegios visualizar o modificar filas restringidas.
CVE-2024-10977: Puntuación CVSS 3.1, severidad baja. Una vulnerabilidad en el manejo de errores del lado del cliente permitiría a un atacante inyectar bytes arbitrarios a la aplicación libpq.
Recomendación
Actualizar los productos afectados a la última versión disponible desde la web oficial del fabricante. Se recomienda a los usuarios de PostgreSQL 12 mudarse a un lanzamiento más reciente, debido a que PostgreSQL 12 ha alcanzado el final de su ciclo de soporte, y ya no recibirá parches de seguridad.
Referencias
https://www.postgresql.org/about/news/postgresql-171-165-159-1414-1317-and-1221-released-2955
https://www.postgresql.org/support/security/CVE-2024-10979
https://www.postgresql.org/support/security/CVE-2024-10976
https://www.postgresql.org/support/security/CVE-2024-10977
https://www.postgresql.org/support/security/CVE-2024-10978/