CVE-2026-49498

Nome do Software Vulnerável e Versões Afetadas Ghidra versões 11.0 a 12.0

Descrição Um problema de injeção de SQL existe na função changePassword() do PostgresFunctionDatabase. O sistema falha ao escapar aspas duplas em nomes de usuário que são interpolados em instruções ALTER ROLE. Atacantes autenticados podem explorar isso enviando parâmetros de nome de usuário manipulados em mensagens de rede PasswordChange para executar comandos SQL arbitrários, permitindo a escalada de privilégios para superusuário do PostgreSQL e o controle total do banco de dados.

Recomendações Atualize para a versão 12.1. Como medida paliativa temporária, restrinja o acesso à função changePassword() no PostgresFunctionDatabase para minimizar o risco de exploração.