Alexander Lakhin

**Name of the Vulnerable Software and Affected Versions** PostgreSQL (affected versions not specified) **Description** The issue is related to a component of the PostgreSQL database management system, specifically the Schema Handler, which has inadequate access control. This can allow a remote attacker with elevated database-level privileges to execute arbitrary code by exploiting the `schema element` that defeats protective `search path` changes. The exploitation can be done using the `CREATE SCHEMA` command. **Recommendations** At the moment, there is no information about a newer version that contains a fix for this vulnerability.

**Nome do software vulnerável e versões afetadas** PostgreSQL (versões afetadas não especificadas) **Descrição** Foi identificada uma falha no PostgreSQL relacionada a medidas de segurança incompletas ao operar com segurança quando um usuário com privilégios realiza a manutenção de objetos de outro usuário. Os comandos Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER e pg amcheck ativavam as proteções relevantes tarde demais ou nem sequer as ativavam durante o processo. Esse problema permite que um invasor com permissão para criar objetos não temporários em pelo menos um esquema execute funções SQL arbitrárias sob a identidade de um superusuário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Name of the Vulnerable Software and Affected Versions** PostgreSQL versions 10.x through 10.8 PostgreSQL versions 11.x through 11.3 **Description** The issue is caused by a stack-based buffer overflow in the PostgreSQL database management system. This can be exploited by an authenticated user changing their own password to a specially crafted value, potentially allowing the execution of arbitrary code as the PostgreSQL operating system account. **Recommendations** For PostgreSQL versions 10.x through 10.8, update to version 10.9 or later. For PostgreSQL versions 11.x through 11.3, update to version 11.4 or later. As a temporary workaround, consider restricting password changes for users until a patch is applied.