[TLP:CLEAR] PostgreSQL opravuje 5 zranitelností

PostgreSQL verzemi 18.2, 17.8, 16.12, 15.16 a 14.21 opravuje 5 zranitelností. Nejzávažnější z nich jsou popsány níže, zbylé naleznete na [1].

PostgreSQL - arbitrary code execution (CVE-2026-2004)
CVSS 8.8 (High)

Autentizovanému vzdálenému útočníkovi je kvůli chybějící kontrole typu vstupu v rozšíření PostgreSQL umožněno spustit libovolný kód s oprávněními uživatele, pod kterým běží databáze [1].

Zranitelnost se nachází v produktu PostgreSQL ve verzích (>=18.0 AND <18.2) OR (>=17.0 AND <17.8) OR (>=16.0 AND <16.12) OR (>=15.0 AND <15.16) OR (>=14.0 AND <14.21).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 12. 2. 2026.

PostgreSQL - arbitrary code execution (CVE-2026-2005)
CVSS 8.8 (High)

Autentizovanému vzdálenému útočníkovi je prostřednictvím škodlivého šifrovaného vstupu v rozšíření PostgreSQL umožněno spustit libovolný kód s oprávněními uživatele, pod kterým běží databáze [1].

Zranitelnost se nachází v produktu PostgreSQL ve verzích (>=18.0 AND <18.2) OR (>=17.0 AND <17.8) OR (>=16.0 AND <16.12) OR (>=15.0 AND <15.16) OR (>=14.0 AND <14.21).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 12. 2. 2026.

PostgreSQL - arbitrary code execution (CVE-2026-2006)
CVSS 8.8 (High)

Autentizovanému vzdálenému útočníkovi je kvůli chybějící kontrole délky vícebajtových znaků v textových funkcích PostgreSQL umožněno přes upravené dotazy vyvolat přetečení bufferu a spustit libovolný kód s oprávněními uživatele, pod kterým běží databáze [1].

Zranitelnost se nachází v produktu PostgreSQL ve verzích (>=18.0 AND <18.2) OR (>=17.0 AND <17.8) OR (>=16.0 AND <16.12) OR (>=15.0 AND <15.16) OR (>=14.0 AND <14.21).

CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 12. 2. 2026.

Za CESNET-CERTS Michaela Jarošová dne 16. 2. 2026.

CESNET-CERTS Logo