Existem várias falhas de segurança no banco de dados PostgreSQL que permitem que invasores contrabandeiem comandos SQL. Software atualizado está disponível. Os gerentes de TI precisam se atualizar rapidamente.
Leia mais depois do anúncio
Os desenvolvedores do PostgreSQL escreveram no anúncio da versão que as novas versões disponíveis 18.4, 17.10, 16.14, 15.18 e 14.23 corrigem um total de onze vulnerabilidades. Alguns deles simplesmente não podem ser classificados como vazamentos críticos de segurança. O underflow de números inteiros em algumas funções permite que um invasor aloque uma área de memória muito pequena e escreva fora do limite de memória pretendido – causando uma falha de segmentação (travamento) (CVE-2026-6473, CVSS 8.8risco”esse“). O superusuário Origin pode estar exposto a vulnerabilidades de rastreamento de links em pg_basebackup e assim por diante pg_rewind sobrescrevendo arquivos locais como “/var/lib/postgres/.bashrc” e, assim, assumindo contas no sistema operacional (CVE-2026-6475, CVSS 8.8risco”esseOutra vulnerabilidade permite que um superusuário do servidor substitua a memória do cliente no heap (CVE-2026-6477, CVSS 8.8risco”esse“).
Finalmente, um buffer overflow baseado em pilha permite a entrada refint Usuários de banco de dados com poucos privilégios podem executar código arbitrário como usuários de banco de dados no sistema operacional, e ataques de injeção de SQL também são possíveis (CVE-2026-6637, CVSS). 8.8risco”esseOs desenvolvedores classificaram duas vulnerabilidades como de alto risco, quatro como ameaça média e uma como risco baixo.
Muitas correções de bugs
Além das onze vulnerabilidades, os desenvolvedores também corrigiram mais de 60 erros no pacote atualizado. O anúncio da versão lista 24, afetando principalmente o PostgreSQL 18. Na página de download do projeto PostgreSQL você pode encontrar os pacotes de instalação atuais para sistemas operacionais importantes e algumas distribuições Linux.
(dmk)
