PT-2026-37159 · Pgx · Pgx

Jackc

·

Publicado

2026-04-22

·

Atualizado

2026-06-11

·

CVE-2026-41889

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas pgx versões anteriores a 5.9.2
Descrição Uma injeção de SQL pode ocorrer quando o protocolo simples não padrão é usado em conjunto com um literal de string com aspas de cifrão (dollar quoted string literal) na consulta SQL. Se esse literal de string contiver texto que seria interpretado como um marcador de posição (placeholder) fora de um literal de string e o valor desse marcador for controlável por um invasor, o problema pode ser explorado.
Recomendações Atualize para a versão 5.9.2. Como alternativa temporária, não utilize o protocolo simples para executar consultas que utilizem literais de string com aspas de cifrão contendo possíveis marcadores de posição.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CLEANSTART-2026-AP95632
CLEANSTART-2026-GR41888
CLEANSTART-2026-QS87161
CVE-2026-41889
GHSA-J88V-2CHJ-QFWX
OPENSUSE-SU-2026:10976-1
OPENSUSE-SU-2026:10992-1
RHSA-2026:15856
RHSA-2026:16133

Produtos afetados

Pgx