El Grupo de Desarrollo Global de PostgreSQL ha publicado actualizaciones críticas para todas las ramas soportadas que solucionan 11 vulnerabilidades, incluyendo ejecución arbitraria de código e inyecciones SQL en módulos clave como refint y la replicación lógica. Estas fallas permiten la ejecución de código con privilegios elevados y la escalación de privilegios, afectando gravemente la integridad y la disponibilidad de bases de datos en producción. Se recomienda revisar configuraciones donde se utilicen mecanismos afectados para detectar posibles indicios de explotación.
CVE y severidad
| CVE | Impacto | Descripción breve |
|---|---|---|
| CVE-2026-6472 | Escalada de privilegios y ejecución arbitraria de SQL | Elude privilegios y ejecuta SQL arbitrario |
| CVE-2026-6473 | Ejecutar código remotamente; corrupción de memoria | Problemas con asignaciones y escrituras fuera de límites |
| CVE-2026-6474 | Divulgación de información sensible en memoria del servidor | Filtrado de datos desde la memoria del servidor |
| CVE-2026-6475 | Sobrescritura arbitraria de archivos locales | Utilidades de respaldo siguen enlaces simbólicos peligrosos |
| CVE-2026-6476 | Inyección SQL con ejecución de superusuario | Abuso en pg_createsubscriber para ejecutar SQL con altos privilegios |
| CVE-2026-6477 | Riesgo de ejecución de código del lado cliente | Vulnerabilidad en biblioteca libpq afectando funciones de objetos grandes |
| CVE-2026-6478 | Filtrado por temporización de credenciales MD5 | Revelación limitada mediante análisis por temporización |
| CVE-2026-6479 | Denegación de servicio SSL/GSS | Falla que permite provocar denegación mediante solicitudes maliciosas |
| CVE-2026-6575 | Divulgación limitada de memoria | Filtrado parcial de información desde memoria interna |
| CVE-2026-6637 | Desbordamiento de pila e inyección SQL | Bug en módulo refint permite ejecución remota y SQL inyectado |
| CVE-2026-6638 | Inyección SQL en replicación lógica | Ejecución arbitraria durante actualización REFRESH PUBLICATION |
Productos afectados
| Producto | Versiones afectadas |
|---|---|
| PostgreSQL (todas las ramas soportadas) | 14.0 hasta 18.3 (particularmente 14 a 18) |
Solución
Actualizar a PostgreSQL versiones 18.4, 17.10, 16.14, 15.18 o 14.23 según corresponda.
Recomendaciones
Poner en prioridad máxima la aplicación de estas actualizaciones en entornos expuestos a internet o multiusuario, detener el servicio antes de actualizar binarios y validar configuraciones relacionadas con módulos refint y replicación lógica para mitigar riesgos.
Referencias
- https://cybersecuritynews.com/postgresql-code-execution-vulnerabilities/
- NVD – CVE-2026-6472
- MITRE – CVE-2026-6472
- NVD – CVE-2026-6473
- MITRE – CVE-2026-6473
- NVD – CVE-2026-6474
- MITRE – CVE-2026-6474
- NVD – CVE-2026-6475
- MITRE – CVE-2026-6475
- NVD – CVE-2026-6476
- MITRE – CVE-2026-6476
- NVD – CVE-2026-6477
- MITRE – CVE-2026-6477
- NVD – CVE-2026-6478
- MITRE – CVE-2026-6478
- NVD – CVE-2026-6479
- MITRE – CVE-2026-6479
- NVD – CVE-2026-6575
- MITRE – CVE-2026-6575
- NVD – CVE-2026-6637
- MITRE – CVE-2026-6637
- NVD – CVE-2026-6638
- MITRE – CVE-2026-6638