Банк данных угроз безопасности информации (BDU) опубликовал информацию о новой критической уязвимости в популярных системах управления базами данных. Речь идёт об ошибке, зарегистрированной под идентификатороми BDU:2026-01727 и CVE-2026-2004. Эта уязвимость затрагивает расширение Intarray в PostgreSQL и его российском дистрибутиве Postgres Pro Certified, включённом в единый реестр отечественного программного обеспечения.
Детали уязвимости
Проблема кроется в функции оценки избирательности для расширения Intarray. Она связана с недостаточной проверкой типа входных данных. Если говорить простыми словами, система не всегда корректно проверяет информацию, которую получает для обработки. В результате удалённый злоумышленник, имеющий права на вход в базу данных, может воспользоваться этой ошибкой. Его целью становится выполнение произвольного кода в контексте текущего пользователя СУБД. Это открывает путь к полному контролю над базой данных, её повреждению или краже конфиденциальной информации.
Уязвимость классифицируется как высокоопасная. Её базовая оценка по шкале CVSS 3.1 достигает 8,8 баллов из 10. Это указывает на серьёзный потенциал для нанесения ущерба. Более того, ошибка позволяет атаковать систему удалённо, что значительно расширяет возможную зону поражения. Эксперты отмечают, что для эксплуатации уязвимости злоумышленнику потребуются учётные данные с правами доступа низкого уровня. Однако в реальных условиях такие учётные записи часто оказываются скомпрометированы.
Под угрозой находятся все поддерживаемые на данный момент основные ветки PostgreSQL, начиная с 14-й версии. Конкретно, это версии до 14.21, до 15.16, до 16.12, до 17.8 и до 18.2. Аналогичным образом уязвимость затрагивает российский продукт Postgres Pro Certified в тех же версионных диапазонах. Важно подчеркнуть, что данное программное обеспечение используется не только как классическая СУБД, но и в инфраструктуре для разработки систем искусственного интеллекта. Следовательно, инцидент может затронуть и эту быстрорастущую сферу.
Производители уже отреагировали на угрозу и выпустили обновления, полностью устраняющие проблему. Разработчики PostgreSQL опубликовали официальное уведомление и патчи. Команда Postgres Pro также рекомендует пользователям своего сертифицированного дистрибутива немедленно обновить программное обеспечение. Это стандартный и самый эффективный способ устранения уязвимости. Системным администраторам и специалистам по информационной безопасности настоятельно рекомендуется приоритизировать установку этих исправлений.
В настоящее время нет подтверждённых данных о существовании публичных эксплойтов, использующих данную уязвимость. Однако высокая оценка CVSS и привлекательность целевой платформы делают появление таких инструментов в ближайшем будущем весьма вероятным. Злоумышленники, особенно из числа APT-групп, часто следят за подобными анонсами, чтобы атаковать незащищённые системы.
Таким образом, ситуация требует оперативных действий от всех, кто использует уязвимые версии PostgreSQL или Postgres Pro Certified. Промедление с обновлением создаёт значительные риски для безопасности данных. В худшем сценарии это может привести к инцидентам, аналогичным атакам с использованием шифровальщиков (ransomware) или к скрытой установке вредоносной полезной нагрузки для долговременного закрепления (persistence) в системе. Своевременное применение патчей остаётся ключевой мерой защиты.
Ссылки
- https://bdu.fstec.ru/vul/2026-01727
- https://www.cve.org/CVERecord?id=CVE-2026-2004
- https://www.postgresql.org/support/security/CVE-2026-2004/
- https://postgrespro.ru/products/postgrespro/certified
