PT-2026-40921 · Postgresql Global Development Group+3 · Postgresql+2

Yu Kunpeng

Publicado

2026-05-14

Atualizado

2026-06-04

CVE-2026-6476

CVSS v2.0

9.0

Alta

Vetor

AV:N/AC:L/Au:S/C:C/I:C/A:C

Nome do Software Vulnerável e Versões Afetadas PostgreSQL versões 17.0 a 17.9 PostgreSQL versões 18.0 a 18.3

Descrição Uma injeção de SQL na função pg createsubscriber permite que um invasor com direitos de pg create subscription execute comandos SQL arbitrários com privilégios de superusuário. O ataque é ativado quando o pg createsubscriber for executado posteriormente.

Recomendações Atualizar o PostgreSQL versão 17 para 17.10. Atualizar o PostgreSQL versão 18 para 18.4.

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

BDU:2026-07099

BIT-POSTGRESQL-2026-6476

CVE-2026-6476

ECHO-B729-AA9A-E866

OPENSUSE-SU-2026:10809-1

OPENSUSE-SU-2026:10828-1

SUSE-SU-2026:22077-1

USN-8294-1

Produtos afetados

Linuxmint

Postgresql

Ubuntu

PT-2026-40921 · Postgresql Global Development Group+3 · Postgresql+2

CVE-2026-6476

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 59