CVE-2026-2006

PostgreSQL e Versões Afetadas Versões do PostgreSQL anteriores a 18.3 Versões do PostgreSQL anteriores a 17.9 Versões do PostgreSQL anteriores a 16.13 Versões do PostgreSQL anteriores a 15.17 Versões do PostgreSQL anteriores a 14.22 Versão 9.3 do PostgreSQL

Descrição O PostgreSQL é suscetível a um estouro de buffer devido à falta de validação do tamanho de caracteres multibyte durante a manipulação de texto. Isso permite que um usuário do banco de dados elabore consultas capazes de sobrescrever memória, potencialmente levando à execução de código arbitrário com os privilégios do usuário do sistema operacional que executa o banco de dados. O problema é desencadeado ao processar consultas maliciosamente elaboradas, especificamente durante a compilação de funções PL/pgsql ao lidar com instruções CREATE FUNCTION. Um atacante com privilégio CREATE pode definir uma função definida pelo usuário PL/Python contendo código Python arbitrário que é executado com os privilégios do processo do servidor PostgreSQL. Estima-se que aproximadamente 3 milhões de instâncias estejam expostas globalmente. A vulnerabilidade afeta a função substring(), que pode gerar um erro ao processar valores de texto não ASCII oriundos de colunas do banco de dados.

Recomendações Versões do PostgreSQL anteriores a 18.3: Atualize para a versão 18.3 ou posterior. Versões do PostgreSQL anteriores a 17.9: Atualize para a versão 17.9 ou posterior. Versões do PostgreSQL anteriores a 16.13: Atualize para a versão 16.13 ou posterior. Versões do PostgreSQL anteriores a 15.17: Atualize para a versão 15.17 ou posterior. Versões do PostgreSQL anteriores a 14.22: Atualize para a versão 14.22 ou posterior. Versão 9.3 do PostgreSQL: Atualize para uma versão suportada do PostgreSQL.