PT-2026-40917 · Postgresql Global Development Group+3 · Postgresql+2

Jelte Fennema-Nio

·

Publicado

2026-05-14

·

Atualizado

2026-06-08

·

CVE-2026-6472

CVSS v2.0

5.5

Média

VetorAV:N/AC:L/Au:S/C:P/I:P/A:N
Nome do Software Vulnerável e Versões Afetadas PostgreSQL versões anteriores a 18.4 PostgreSQL versões anteriores a 17.10 PostgreSQL versões anteriores a 16.14 PostgreSQL versões anteriores a 15.18 PostgreSQL versões anteriores a 14.23
Descrição A falta de autorização no comando CREATE TYPE permite que um criador de objetos sequestre consultas que utilizam o search path para localizar tipos definidos pelo usuário, incluindo tipos definidos por extensões. Isso pode levar a vítima a executar funções SQL arbitrárias escolhidas pelo invasor.
Recomendações Atualize para a versão 18.4 ou posterior. Atualize para a versão 17.10 ou posterior. Atualize para a versão 16.14 ou posterior. Atualize para a versão 15.18 ou posterior. Atualize para a versão 14.23 ou posterior.

Correção

Missing Authorization

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-862CWE-863

Identificadores relacionados

BDU:2026-07103
BIT-POSTGRESQL-2026-6472
CVE-2026-6472
ECHO-07C3-3F85-B9EA
JLSEC-2026-600
OESA-2026-2381
OESA-2026-2382
OESA-2026-2413
OESA-2026-2414
OESA-2026-2479
OPENSUSE-SU-2026:10806-1
OPENSUSE-SU-2026:10807-1
OPENSUSE-SU-2026:10808-1
OPENSUSE-SU-2026:10809-1
OPENSUSE-SU-2026:10828-1
RHSA-2026:21182
RHSA-2026:22878
SUSE-SU-2026:22077-1
USN-8294-1

Produtos afetados

Linuxmint
Postgresql
Ubuntu