Критическая уязвимость в PostgreSQL угрожает базам данных по всему миру

В Банке данных угроз (BDU) была зарегистрирована новая критическая уязвимость в популярной системе управления базами данных PostgreSQL. Идентификатор уязвимости - BDU:2026-01723, также ей присвоен международный идентификатор CVE-2026-2006. Проблема затрагивает практически все поддерживаемые ветки PostgreSQL, включая российскую сборку Postgres Pro Certified, что делает инцидент масштабным и требующим немедленного внимания со стороны системных администраторов и разработчиков.

Детали уязвимости

Суть уязвимости кроется в ошибке класса CWE-129, связанной с непроверенным индексированием массива. Проще говоря, в коде СУБД существует участок, где при обработке специально сформированного SQL-запроса не выполняется должная проверка границ массива. В результате злоумышленник, имеющий возможность отправлять запросы к базе данных, может выйти за пределы выделенной памяти. Это создает условия для выполнения произвольного кода на сервере. Код будет исполняться в контексте того пользователя, под которым работает процесс PostgreSQL, что потенциально дает атакующему полный контроль над системой.

Уровень опасности классифицирован как высокий. Системы оценки CVSS 2.0 и CVSS 3.1 присваивают уязвимости 9.0 и 8.8 баллов соответственно. Высокий рейтинг обусловлен несколькими факторами. Во-первых, для эксплуатации не требуется взаимодействие с пользователем. Во-вторых, атака может проводиться удаленно через сеть. Однако важно отметить, что для успешной атаки злоумышленнику уже необходимы права на авторизованный доступ к базе данных, что несколько сужает круг потенциальных жертв. Тем не менее, в случае компрометации учетных данных приложения или при наличии другой уязвимости, эта проблема становится крайне опасной.

Под угрозой находятся версии PostgreSQL до 18.2, 17.8, 16.12, 15.16 и 14.21. Аналогичные версии продукта Postgres Pro Certified, который внесен в единый реестр российского ПО под номером 104, также уязвимы. Это означает, что проблема затрагивает как международное сообщество, так и значительный сегмент российского ИТ-рынка, где Postgres Pro широко используется в государственных и коммерческих проектах. Производители уже подтвердили наличие уязвимости и оперативно выпустили исправления.

Основной и единственный надежный способ устранения риска - немедленное обновление программного обеспечения. Команда разработчиков PostgreSQL опубликовала патчи в рамках регулярных выпусков обновлений безопасности. Владельцам стандартного PostgreSQL необходимо обновиться до версий 18.2, 17.8, 16.12, 15.16 или 14.21, в зависимости от используемой ветки. Пользователям Postgres Pro Certified следует обратиться на официальный сайт вендора за обновленными сборками. Откладывание установки патчей создает серьезный риск для конфиденциальности и целостности хранимых данных.

На текущий момент нет подтвержденной информации о наличии эксплойтов в открытом доступе. Однако, учитывая высокий профиль уязвимости и публикацию технических деталей, появление работающих методов эксплуатации в ближайшее время весьма вероятно. Злоумышленники, особенно представители APT групп, часто отслеживают такие уведомления, чтобы атаковать организации, медлящие с установкой обновлений. Следовательно, временное окно для безопасного обновления может быть крайне узким.

В целом, данная ситуация служит очередным напоминанием о важности своевременного управления обновлениями для критически важной инфраструктуры, такой как СУБД. Система PostgreSQL, будучи одним из мировых лидеров в своем сегменте, постоянно находится под пристальным вниманием исследователей безопасности. Обнаружение уязвимости, ведущей к выполнению произвольного кода, подчеркивает необходимость многоуровневой защиты. Помимо обновлений, эксперты рекомендуют строго следовать принципу минимальных привилегий, сегментировать сети и использовать системы обнаружения вторжений (IDS). Эти меры помогут смягчить потенциальные последствия, даже если злоумышленник попытается воспользоваться уязвимостью.

Детали уязвимости

Ссылки