CVE-2026-14178

openGauss 在处理带 NLS 参数的 to timestamp 调用时，to timestamp with fmt nls() 会将 nls fmt str 保存到 u sess->parser cxt.nls fmt str。在 seqscan + sort 执行路径下，该字符串原本被分配在 SeqScan 的表达式上下文中；当 SeqScan 完成后，该内存上下文会被 reset，但后续结果输出阶段 timestamp out() 仍会通过 CheckNlsFormat() 访问 u sess->parser cxt.nls fmt str，导致访问已释放内存。攻击者在具备数据库 SQL 执行权限的情况下，可构造特定 to timestamp(..., ..., nlsparam) 查询触发 heap-use-after-free。在 ASan/Memcheck 环境下表现为数据库服务退出；在实际运行环境中可能造成后端进程异常退出，影响数据库服务可用性，形成拒绝服务风险。该问题在openGauss-server-7.0.0-RC1版本和openGauss-server-7.0.0-RC2版本存在，目前已在openGauss-server-7.0.0-RC3版本修复。由于 openGauss-server-7.0.0-RC1版本和openGauss-server-7.0.0-RC2均为创新版本，不会发布针对性补丁包，涉及版本升级至 openGauss-server-7.0.0-RC3或更新版本即可。