PostgreSQL
PostgreSQL gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht PostgreSQL kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.
Schwachstellen-Reports
18 ReportsZeige 1 bis 18 von 18
-
ProxySQL: Heap-Speicherkorruption vor der Authentifizierung im MySQL- und PostgreSQL-Protokoll
CVE-2026-48773 KritischProxySQL ist ein Proxy für MySQL und dessen Forks sowie für PostgreSQL. Die Versionen 2.0.18 bis 3.0.8 enthalten eine Schwachstelle zur Heap-Speicherkorruption im MySQL- und PostgreSQL-Protokoll, die bereits vor der Authentifizierung ausgelöst werden kann. Der Angriff ist netzwerkbasiert und erfordert weder Rechte noch Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.
CVSS: 9.8 EPSS: 0.36% Publiziert: Referenz: NVD -
ProxySQL: MySQL-Frontend akzeptiert gefälschte PROXY-Protokoll-Frames
CVE-2026-48772 KritischProxySQL ist ein Proxy für MySQL und dessen Forks sowie für PostgreSQL. In den Versionen 2.0.0 bis 3.0.8 akzeptiert das MySQL-Frontend von ProxySQL den PP1-Frame `PROXY UNKNOWN <addr> <addr> <port> <port>`. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine Version ausserhalb des betroffenen Bereichs aktualisieren.
CVSS: 10.0 EPSS: 0.18% Publiziert: Referenz: NVD -
AWS Advanced JDBC Wrapper (Aurora PostgreSQL): Rechteausweitung über unsicheren Suchpfad im GlobalDatabasePlugin
CVE-2026-11400 HochEin unsicherer Suchpfad im GlobalDatabasePlugin des AWS Advanced JDBC Wrapper für Amazon Aurora PostgreSQL erlaubt einem entfernten, authentifizierten Akteur mit niedrigen Rechten eine Rechteausweitung. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Auf die vom Hersteller bereitgestellte, korrigierte Version aktualisieren.
CVSS: 8.0 EPSS: 0.13% Publiziert: Referenz: NVD -
AWS Advanced Go Wrapper (Aurora PostgreSQL) – unsicherer Suchpfad
CVE-2026-11401 HochEin Problem mit einem nicht vertrauenswürdigen Suchpfad im GlobalDatabasePlugin des AWS Advanced Go Wrapper für Amazon Aurora PostgreSQL erlaubt einem entfernten, authentifizierten Akteur mit geringen Rechten eine Rechteausweitung. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.
CVSS: 8.0 EPSS: 0.13% Publiziert: Referenz: NVD -
PostgreSQL: Integer Wraparound führt zu Out-of-Bounds-Schreiben und Codeausführung
CVE-2026-6473 HochEin Integer-Wraparound in mehreren PostgreSQL-Serverfunktionen ermöglicht es einem nicht privilegierten Datenbankbenutzer, den Server dazu zu bringen, eine Speicherzuweisung zu klein zu dimensionieren und ausserhalb des zugewiesenen Bereichs zu schreiben. Dies kann zur Ausführung beliebigen Codes führen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD -
PostgreSQL intarray: Fehlende Typvalidierung ermöglicht beliebige Codeausführung
CVE-2026-2004 HochEine fehlende Validierung des Eingabetyps in der Selektivitäts-Schätzfunktion der PostgreSQL-Erweiterung intarray ermöglicht es einem Objektersteller, beliebigen Code als Betriebssystembenutzer des Datenbankprozesses auszuführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.
CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD -
PostgreSQL pg_basebackup – Symlink-Following ermöglicht Dateiüberschreibung
CVE-2026-6475 HochIn PostgreSQL ermöglicht eine Symlink-Following-Schwachstelle in pg_basebackup (Plain-Format) und pg_rewind einem Superuser des Ursprungs-Servers, lokale Dateien auf dem Zielsystem zu überschreiben und so die Betriebssystem-Konten zu kompromittieren. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.05% Publiziert: Referenz: NVD -
PostgreSQL libpq – Unsichere PQfn-Funktion ermöglicht Dateiüberschreibung auf Client-Seite
CVE-2026-6477 HochIn PostgreSQL ermöglicht die Verwendung der inhärent gefährlichen Funktion PQfn(..., result_is_int=0, ...) in libpq-Funktionen (lo_export, lo_read, lo_lseek64, lo_tell64) einem Server-Superuser, Dateien auf dem Client-System zu überschreiben. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.05% Publiziert: Referenz: NVD -
pgjdbc: Client-seitiger Denial of Service bei SCRAM-SHA-256-Authentifizierung
CVE-2026-42198 HochDer Open-Source-PostgreSQL-JDBC-Treiber pgjdbc ist in den Versionen 42.2.0 bis vor 42.7.11 anfällig für einen clientseitigen Denial-of-Service während der SCRAM-SHA-256-Authentifizierung. Ein bösartiger Server kann diesen Zustand auslösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD -
PostgreSQL refint-Modul – Stack-Pufferüberlauf ermöglicht Codeausführung
CVE-2026-6637 HochIm PostgreSQL-Modul „refint” ermöglicht ein Stack-Pufferüberlauf einem unprivilegierten Datenbankbenutzer, beliebigen Code als Betriebssystem-Benutzer des Datenbankprozesses auszuführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD -
PostgreSQL pgcrypto: Heap Buffer Overflow ermöglicht beliebige Codeausführung
CVE-2026-2005 HochEin Heap-Buffer-Overflow in der PostgreSQL-Erweiterung pgcrypto ermöglicht es einem Ciphertext-Anbieter, beliebigen Code als Betriebssystembenutzer des Datenbankprozesses auszuführen. Betroffen sind Versionen vor PostgreSQL 18.2, 17.8, 16.12 und 15. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD -
PostgreSQL: Fehlende Validierung der Multibyte-Zeichenlänge führt zu Buffer Overrun
CVE-2026-2006 HochEine fehlende Validierung der Multibyte-Zeichenlänge in der PostgreSQL-Textverarbeitung ermöglicht es einem Datenbankbenutzer, durch gezielt konstruierte Abfragen einen Buffer Overrun zu verursachen, der zur Ausführung beliebigen Codes ausreicht. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD -
PostgreSQL pg_createsubscriber – SQL-Injection ermöglicht Codeausführung als Superuser
CVE-2026-6476 HochIn PostgreSQL ermöglicht eine SQL-Injection-Schwachstelle in pg_createsubscriber einem Angreifer mit pg_create_subscription-Berechtigung, beliebigen SQL-Code als Superuser auszuführen. Der Angriff greift, sobald pg_createsubscriber erneut gestartet wird. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.2 EPSS: 0.03% Publiziert: Referenz: NVD -
PostgreSQL pg_trgm: Heap Buffer Overflow über präparierte Eingabe
CVE-2026-2007 HochEin Heap-Buffer-Overflow in der PostgreSQL-Erweiterung pg_trgm ermöglicht es einem Datenbankbenutzer, durch eine präparierte Eingabezeichenkette unbekannte Auswirkungen zu erzielen. Der Angreifer hat dabei eingeschränkte Kontrolle über die zu schreibenden Byte-Muster. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 8.2 EPSS: 0.02% Publiziert: Referenz: NVD -
PostgreSQL – Unkontrollierte Rekursion bei SSL/GSS-Aushandlung ermöglicht Denial of Service
CVE-2026-6479 HochIn PostgreSQL ermöglicht eine unkontrollierte Rekursion bei der SSL- und GSS-Aushandlung einem Angreifer mit Zugang zu einem PostgreSQL AF_UNIX-Socket, einen anhaltenden Denial-of-Service-Zustand herbeizuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.
CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD -
PostgreSQL Anonymizer: Rechteausweitung zu Superuser über präpariertes JSON
CVE-2026-11945 MittelPostgreSQL Anonymizer enthält eine Schwachstelle, die es einem Nutzer erlaubt, durch Erstellen eines JSON-Dokuments mit schädlichem Code in einem bestimmten Schlüssel-Wert-Paar Superuser-Rechte zu erlangen. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 6.4 EPSS: 0.25% Publiziert: Referenz: NVD -
PostgreSQL JDBC (pgjdbc): stilles Downgrade des Channel Binding
CVE-2026-54291 Mittelpgjdbc ist ein quelloffener PostgreSQL-JDBC-Treiber. In den Releases 42.7.4 bis 42.7.11 können Verbindungen mit `channelBinding=require` stillschweigend von SCRAM-SHA-256-PLUS mit Channel Binding auf ein einfaches Verfahren herabgestuft werden (weitere Details in der Quelle abgeschnitten). CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.
CVSS: 5.9 EPSS: 0.24% Publiziert: Referenz: NVD -
PostgreSQL Anonymizer: Offline-Brute-Force gegen anon.hash()
CVE-2026-13455 MittelPostgreSQL Anonymizer enthält eine Schwachstelle, bei der nicht privilegierte, maskierte Nutzer die Funktion anon.hash() wiederholt aufrufen und (Seed, Hash-Ausgabe)-Paare sammeln können, um einen Offline-Brute-Force-Angriff durchzuführen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine vom Hersteller bereitgestellte, fehlerbereinigte Version aktualisieren.
CVSS: 4.3 EPSS: 0.12% Publiziert: Referenz: NVD
Diesem Produkt-Feed folgen
Eigener RSS-Feed nur für PostgreSQL, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.
RSS-Feed öffnen Zustellung anfragenWie folge ich dem Feed?
- 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
- 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
- 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.