PostgreSQL es un sistema de bases de datos relacional orientado a objetos de código abierto. Recientemente, este sistema se ha visto vulnerable a un ataque que compromete la seguridad de los mismos y a los usuarios.
La vulnerabilidad identificada como CVE-2023-39417, con una puntuación CVSS de 7,5 y permite a un atacante con privilegios CREATE a nivel de base de datos ejecute código no autorizado como superusuario principal.
Un script de extensión se vuelve susceptible si hace uso de las expresiones <<@extowner@, @extschema@ o @extschema:…@>> dentro de una estructura de comillas (dollar quoting, », or «»). Por consiguiente, el requisito previo para llevar a cabo el ataque implica que un administrador haya instalado archivos provenientes de una extensión vulnerable, considerada segura y no incluida en el paquete original.
Versiones afectadas
PostgreSQL en las versiones 11, 12, 13, 14 y 15.
Solución
Actualizar a las versiones de PostgreSQL 11.21, 12.16, 13.12, 14.9 y 15.4.
Recomendación
Se recomienda a los administradores de bases de datos actualizar a las versiones mencionadas o versiones no vulnerables para proteger sus sistemas contra esta amenaza.
Referencias
Para mayor información sobre la vulnerabilidad descrita, consultar los siguientes enlaces: