CVE-2026-32687

Nome do Software Vulnerável e Versões Afetadas postgrex versões 0.16.0 até 0.22.1

Descrição Um problema de Injeção de SQL existe no módulo Elixir.Postgrex.Notifications. O argumento channel passado para as funções listen/3() e unlisten/3() é interpolado diretamente em instruções SQL sem a neutralização do caractere de aspas duplas. Isso permite que um invasor que possa influenciar o nome do canal escape do identificador citado e anexe SQL arbitrário. Como a conexão de notificações utiliza o protocolo de consulta simples do PostgreSQL, payloads de múltiplas instruções são aceitos, permitindo o encadeamento de comandos de Linguagem de Definição de Dados (DDL) e Linguagem de Manipulação de Dados (DML). Essa interpolação não sanitizada também ocorre na função handle connect/1() durante a reprodução de comandos após uma reconexão.

Recomendações Atualizar para a versão 0.22.2.