1.5
Server-Software, Middleware, Web

PostgreSQL

Server-Software, Middleware, Web

PostgreSQL gehört zur Kategorie „Server-Software, Middleware, Web". xonatec überwacht PostgreSQL kontinuierlich auf neue Sicherheitslücken, priorisiert jede Meldung nach aktiver Ausnutzung (KEV), Ausnutzungswahrscheinlichkeit (EPSS) und Schweregrad (CVSS) Im zugeschnittenen Bericht erhalten Sie ausschliesslich die Meldungen, die dieses Produkt betreffen.

18
Reports
0
Aktiv ausgenutzt
Kritisch
Höchste Priorität
0.4%
Max. EPSS

Schwachstellen-Reports

18 Reports

Zeige 1 bis 18 von 18

  1. ProxySQL: Heap-Speicherkorruption vor der Authentifizierung im MySQL- und PostgreSQL-Protokoll

    CVE-2026-48773 Kritisch

    ProxySQL ist ein Proxy für MySQL und dessen Forks sowie für PostgreSQL. Die Versionen 2.0.18 bis 3.0.8 enthalten eine Schwachstelle zur Heap-Speicherkorruption im MySQL- und PostgreSQL-Protokoll, die bereits vor der Authentifizierung ausgelöst werden kann. Der Angriff ist netzwerkbasiert und erfordert weder Rechte noch Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

    CVSS: 9.8 EPSS: 0.36% Publiziert: Referenz: NVD
  2. ProxySQL: MySQL-Frontend akzeptiert gefälschte PROXY-Protokoll-Frames

    CVE-2026-48772 Kritisch

    ProxySQL ist ein Proxy für MySQL und dessen Forks sowie für PostgreSQL. In den Versionen 2.0.0 bis 3.0.8 akzeptiert das MySQL-Frontend von ProxySQL den PP1-Frame `PROXY UNKNOWN <addr> <addr> <port> <port>`. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine Version ausserhalb des betroffenen Bereichs aktualisieren.

    CVSS: 10.0 EPSS: 0.18% Publiziert: Referenz: NVD
  3. AWS Advanced JDBC Wrapper (Aurora PostgreSQL): Rechteausweitung über unsicheren Suchpfad im GlobalDatabasePlugin

    CVE-2026-11400 Hoch

    Ein unsicherer Suchpfad im GlobalDatabasePlugin des AWS Advanced JDBC Wrapper für Amazon Aurora PostgreSQL erlaubt einem entfernten, authentifizierten Akteur mit niedrigen Rechten eine Rechteausweitung. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Auf die vom Hersteller bereitgestellte, korrigierte Version aktualisieren.

    CVSS: 8.0 EPSS: 0.13% Publiziert: Referenz: NVD
  4. AWS Advanced Go Wrapper (Aurora PostgreSQL) – unsicherer Suchpfad

    CVE-2026-11401 Hoch

    Ein Problem mit einem nicht vertrauenswürdigen Suchpfad im GlobalDatabasePlugin des AWS Advanced Go Wrapper für Amazon Aurora PostgreSQL erlaubt einem entfernten, authentifizierten Akteur mit geringen Rechten eine Rechteausweitung. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

    CVSS: 8.0 EPSS: 0.13% Publiziert: Referenz: NVD
  5. PostgreSQL: Integer Wraparound führt zu Out-of-Bounds-Schreiben und Codeausführung

    CVE-2026-6473 Hoch

    Ein Integer-Wraparound in mehreren PostgreSQL-Serverfunktionen ermöglicht es einem nicht privilegierten Datenbankbenutzer, den Server dazu zu bringen, eine Speicherzuweisung zu klein zu dimensionieren und ausserhalb des zugewiesenen Bereichs zu schreiben. Dies kann zur Ausführung beliebigen Codes führen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.07% Publiziert: Referenz: NVD
  6. PostgreSQL intarray: Fehlende Typvalidierung ermöglicht beliebige Codeausführung

    CVE-2026-2004 Hoch

    Eine fehlende Validierung des Eingabetyps in der Selektivitäts-Schätzfunktion der PostgreSQL-Erweiterung intarray ermöglicht es einem Objektersteller, beliebigen Code als Betriebssystembenutzer des Datenbankprozesses auszuführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

    CVSS: 8.8 EPSS: 0.06% Publiziert: Referenz: NVD
  7. PostgreSQL pg_basebackup – Symlink-Following ermöglicht Dateiüberschreibung

    CVE-2026-6475 Hoch

    In PostgreSQL ermöglicht eine Symlink-Following-Schwachstelle in pg_basebackup (Plain-Format) und pg_rewind einem Superuser des Ursprungs-Servers, lokale Dateien auf dem Zielsystem zu überschreiben und so die Betriebssystem-Konten zu kompromittieren. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.05% Publiziert: Referenz: NVD
  8. PostgreSQL libpq – Unsichere PQfn-Funktion ermöglicht Dateiüberschreibung auf Client-Seite

    CVE-2026-6477 Hoch

    In PostgreSQL ermöglicht die Verwendung der inhärent gefährlichen Funktion PQfn(..., result_is_int=0, ...) in libpq-Funktionen (lo_export, lo_read, lo_lseek64, lo_tell64) einem Server-Superuser, Dateien auf dem Client-System zu überschreiben. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.05% Publiziert: Referenz: NVD
  9. pgjdbc: Client-seitiger Denial of Service bei SCRAM-SHA-256-Authentifizierung

    CVE-2026-42198 Hoch

    Der Open-Source-PostgreSQL-JDBC-Treiber pgjdbc ist in den Versionen 42.2.0 bis vor 42.7.11 anfällig für einen clientseitigen Denial-of-Service während der SCRAM-SHA-256-Authentifizierung. Ein bösartiger Server kann diesen Zustand auslösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.04% Publiziert: Referenz: NVD
  10. PostgreSQL refint-Modul – Stack-Pufferüberlauf ermöglicht Codeausführung

    CVE-2026-6637 Hoch

    Im PostgreSQL-Modul „refint” ermöglicht ein Stack-Pufferüberlauf einem unprivilegierten Datenbankbenutzer, beliebigen Code als Betriebssystem-Benutzer des Datenbankprozesses auszuführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD
  11. PostgreSQL pgcrypto: Heap Buffer Overflow ermöglicht beliebige Codeausführung

    CVE-2026-2005 Hoch

    Ein Heap-Buffer-Overflow in der PostgreSQL-Erweiterung pgcrypto ermöglicht es einem Ciphertext-Anbieter, beliebigen Code als Betriebssystembenutzer des Datenbankprozesses auszuführen. Betroffen sind Versionen vor PostgreSQL 18.2, 17.8, 16.12 und 15. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD
  12. PostgreSQL: Fehlende Validierung der Multibyte-Zeichenlänge führt zu Buffer Overrun

    CVE-2026-2006 Hoch

    Eine fehlende Validierung der Multibyte-Zeichenlänge in der PostgreSQL-Textverarbeitung ermöglicht es einem Datenbankbenutzer, durch gezielt konstruierte Abfragen einen Buffer Overrun zu verursachen, der zur Ausführung beliebigen Codes ausreicht. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.8 EPSS: 0.04% Publiziert: Referenz: NVD
  13. PostgreSQL pg_createsubscriber – SQL-Injection ermöglicht Codeausführung als Superuser

    CVE-2026-6476 Hoch

    In PostgreSQL ermöglicht eine SQL-Injection-Schwachstelle in pg_createsubscriber einem Angreifer mit pg_create_subscription-Berechtigung, beliebigen SQL-Code als Superuser auszuführen. Der Angriff greift, sobald pg_createsubscriber erneut gestartet wird. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.2 EPSS: 0.03% Publiziert: Referenz: NVD
  14. PostgreSQL pg_trgm: Heap Buffer Overflow über präparierte Eingabe

    CVE-2026-2007 Hoch

    Ein Heap-Buffer-Overflow in der PostgreSQL-Erweiterung pg_trgm ermöglicht es einem Datenbankbenutzer, durch eine präparierte Eingabezeichenkette unbekannte Auswirkungen zu erzielen. Der Angreifer hat dabei eingeschränkte Kontrolle über die zu schreibenden Byte-Muster. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 8.2 EPSS: 0.02% Publiziert: Referenz: NVD
  15. PostgreSQL – Unkontrollierte Rekursion bei SSL/GSS-Aushandlung ermöglicht Denial of Service

    CVE-2026-6479 Hoch

    In PostgreSQL ermöglicht eine unkontrollierte Rekursion bei der SSL- und GSS-Aushandlung einem Angreifer mit Zugang zu einem PostgreSQL AF_UNIX-Socket, einen anhaltenden Denial-of-Service-Zustand herbeizuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

    CVSS: 7.5 EPSS: 0.02% Publiziert: Referenz: NVD
  16. PostgreSQL Anonymizer: Rechteausweitung zu Superuser über präpariertes JSON

    CVE-2026-11945 Mittel

    PostgreSQL Anonymizer enthält eine Schwachstelle, die es einem Nutzer erlaubt, durch Erstellen eines JSON-Dokuments mit schädlichem Code in einem bestimmten Schlüssel-Wert-Paar Superuser-Rechte zu erlangen. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 6.4 EPSS: 0.25% Publiziert: Referenz: NVD
  17. PostgreSQL JDBC (pgjdbc): stilles Downgrade des Channel Binding

    CVE-2026-54291 Mittel

    pgjdbc ist ein quelloffener PostgreSQL-JDBC-Treiber. In den Releases 42.7.4 bis 42.7.11 können Verbindungen mit `channelBinding=require` stillschweigend von SCRAM-SHA-256-PLUS mit Channel Binding auf ein einfaches Verfahren herabgestuft werden (weitere Details in der Quelle abgeschnitten). CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

    CVSS: 5.9 EPSS: 0.24% Publiziert: Referenz: NVD
  18. PostgreSQL Anonymizer: Offline-Brute-Force gegen anon.hash()

    CVE-2026-13455 Mittel

    PostgreSQL Anonymizer enthält eine Schwachstelle, bei der nicht privilegierte, maskierte Nutzer die Funktion anon.hash() wiederholt aufrufen und (Seed, Hash-Ausgabe)-Paare sammeln können, um einen Offline-Brute-Force-Angriff durchzuführen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine vom Hersteller bereitgestellte, fehlerbereinigte Version aktualisieren.

    CVSS: 4.3 EPSS: 0.12% Publiziert: Referenz: NVD

Diesem Produkt-Feed folgen

Eigener RSS-Feed nur für PostgreSQL, kostenlos und ohne Anmeldung. Zustellung per E-Mail, Webhook, REST oder TAXII richten wir auf Anfrage ein.

RSS-Feed öffnen Zustellung anfragen

Wie folge ich dem Feed?

  • 1 RSS-Feed-Link kopieren oder direkt im RSS-Reader öffnen.
  • 2 Priorisierte Reports (KEV · EPSS · CVSS) landen automatisch in Ihrem Reader.
  • 3 Zustellung per E-Mail, Webhook, REST oder TAXII auf Anfrage einrichten lassen.
Zurück zum Katalog