<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>xonatec TI-Feed: PostgreSQL</title>
    <link>https://feed.xonatec.ch/produkte/postgresql</link>
    <description>Priorisierte Schwachstellen-Reports für PostgreSQL. Kostenlos &amp; offen, stündlich aktualisiert.</description>
    <language>de</language>
    <lastBuildDate>Tue, 14 Jul 2026 00:00:00 GMT</lastBuildDate>
    <atom:link href="https://feed.xonatec.ch/rss/produkt/postgresql.xml" rel="self" type="application/rss+xml" />
    <generator>xonatec TI-Feed RSS Generator</generator>
    <item>
      <title>CVE-2026-48773 — ProxySQL: Heap-Speicherkorruption vor der Authentifizierung im MySQL- und PostgreSQL-Protokoll</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48773</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48773</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>ProxySQL ist ein Proxy für MySQL und dessen Forks sowie für PostgreSQL. Die Versionen 2.0.18 bis 3.0.8 enthalten eine Schwachstelle zur Heap-Speicherkorruption im MySQL- und PostgreSQL-Protokoll, die bereits vor der Authentifizierung ausgelöst werden kann. Der Angriff ist netzwerkbasiert und erfordert weder Rechte noch Benutzerinteraktion (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). CVSS-Basiswert: 9.8 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.4 %.

Severity: Kritisch · CVSS: 9.8 · EPSS: 0.4%

Betroffene Produkte: mysql-mariadb, postgresql</description>
      <category>Kritisch</category><category>MySQL/MariaDB</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-48772 — ProxySQL: MySQL-Frontend akzeptiert gefälschte PROXY-Protokoll-Frames</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-48772</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-48772</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>ProxySQL ist ein Proxy für MySQL und dessen Forks sowie für PostgreSQL. In den Versionen 2.0.0 bis 3.0.8 akzeptiert das MySQL-Frontend von ProxySQL den PP1-Frame `PROXY UNKNOWN &lt;addr&gt; &lt;addr&gt; &lt;port&gt; &lt;port&gt;`. CVSS-Basiswert: 10 (Kritisch). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %. Empfohlene Massnahme: Auf eine Version ausserhalb des betroffenen Bereichs aktualisieren.

Severity: Kritisch · CVSS: 10 · EPSS: 0.2%

Betroffene Produkte: mysql-mariadb, postgresql</description>
      <category>Kritisch</category><category>MySQL/MariaDB</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-11400 — AWS Advanced JDBC Wrapper (Aurora PostgreSQL): Rechteausweitung über unsicheren Suchpfad im GlobalDatabasePlugin</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11400</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11400</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein unsicherer Suchpfad im GlobalDatabasePlugin des AWS Advanced JDBC Wrapper für Amazon Aurora PostgreSQL erlaubt einem entfernten, authentifizierten Akteur mit niedrigen Rechten eine Rechteausweitung. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: Auf die vom Hersteller bereitgestellte, korrigierte Version aktualisieren.

Severity: Hoch · CVSS: 8 · EPSS: 0.1%

Betroffene Produkte: amazon-linux-alas, postgresql</description>
      <category>Hoch</category><category>Amazon Linux (ALAS)</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-11401 — AWS Advanced Go Wrapper (Aurora PostgreSQL) – unsicherer Suchpfad</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11401</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11401</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>Ein Problem mit einem nicht vertrauenswürdigen Suchpfad im GlobalDatabasePlugin des AWS Advanced Go Wrapper für Amazon Aurora PostgreSQL erlaubt einem entfernten, authentifizierten Akteur mit geringen Rechten eine Rechteausweitung. CVSS-Basiswert: 8.0 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine fehlerbereinigte Version aktualisieren.

Severity: Hoch · CVSS: 8 · EPSS: 0.1%

Betroffene Produkte: amazon-linux-alas, postgresql</description>
      <category>Hoch</category><category>Amazon Linux (ALAS)</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-6473 — PostgreSQL: Integer Wraparound führt zu Out-of-Bounds-Schreiben und Codeausführung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-6473</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-6473</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Ein Integer-Wraparound in mehreren PostgreSQL-Serverfunktionen ermöglicht es einem nicht privilegierten Datenbankbenutzer, den Server dazu zu bringen, eine Speicherzuweisung zu klein zu dimensionieren und ausserhalb des zugewiesenen Bereichs zu schreiben. Dies kann zur Ausführung beliebigen Codes führen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: postgresql</description>
      <category>Hoch</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-2004 — PostgreSQL intarray: Fehlende Typvalidierung ermöglicht beliebige Codeausführung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-2004</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-2004</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlende Validierung des Eingabetyps in der Selektivitäts-Schätzfunktion der PostgreSQL-Erweiterung intarray ermöglicht es einem Objektersteller, beliebigen Code als Betriebssystembenutzer des Datenbankprozesses auszuführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.1%

Betroffene Produkte: postgresql</description>
      <category>Hoch</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-6475 — PostgreSQL pg_basebackup – Symlink-Following ermöglicht Dateiüberschreibung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-6475</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-6475</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In PostgreSQL ermöglicht eine Symlink-Following-Schwachstelle in pg_basebackup (Plain-Format) und pg_rewind einem Superuser des Ursprungs-Servers, lokale Dateien auf dem Zielsystem zu überschreiben und so die Betriebssystem-Konten zu kompromittieren. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.0%

Betroffene Produkte: postgresql</description>
      <category>Hoch</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-6477 — PostgreSQL libpq – Unsichere PQfn-Funktion ermöglicht Dateiüberschreibung auf Client-Seite</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-6477</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-6477</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In PostgreSQL ermöglicht die Verwendung der inhärent gefährlichen Funktion PQfn(..., result_is_int=0, ...) in libpq-Funktionen (lo_export, lo_read, lo_lseek64, lo_tell64) einem Server-Superuser, Dateien auf dem Client-System zu überschreiben. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.0%

Betroffene Produkte: postgresql</description>
      <category>Hoch</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-42198 — pgjdbc: Client-seitiger Denial of Service bei SCRAM-SHA-256-Authentifizierung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-42198</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-42198</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Der Open-Source-PostgreSQL-JDBC-Treiber pgjdbc ist in den Versionen 42.2.0 bis vor 42.7.11 anfällig für einen clientseitigen Denial-of-Service während der SCRAM-SHA-256-Authentifizierung. Ein bösartiger Server kann diesen Zustand auslösen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: postgresql</description>
      <category>Hoch</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-6637 — PostgreSQL refint-Modul – Stack-Pufferüberlauf ermöglicht Codeausführung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-6637</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-6637</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Im PostgreSQL-Modul „refint” ermöglicht ein Stack-Pufferüberlauf einem unprivilegierten Datenbankbenutzer, beliebigen Code als Betriebssystem-Benutzer des Datenbankprozesses auszuführen. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.0%

Betroffene Produkte: postgresql</description>
      <category>Hoch</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-2005 — PostgreSQL pgcrypto: Heap Buffer Overflow ermöglicht beliebige Codeausführung</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-2005</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-2005</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Ein Heap-Buffer-Overflow in der PostgreSQL-Erweiterung pgcrypto ermöglicht es einem Ciphertext-Anbieter, beliebigen Code als Betriebssystembenutzer des Datenbankprozesses auszuführen. Betroffen sind Versionen vor PostgreSQL 18.2, 17.8, 16.12 und 15. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.0%

Betroffene Produkte: postgresql</description>
      <category>Hoch</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-2006 — PostgreSQL: Fehlende Validierung der Multibyte-Zeichenlänge führt zu Buffer Overrun</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-2006</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-2006</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Eine fehlende Validierung der Multibyte-Zeichenlänge in der PostgreSQL-Textverarbeitung ermöglicht es einem Datenbankbenutzer, durch gezielt konstruierte Abfragen einen Buffer Overrun zu verursachen, der zur Ausführung beliebigen Codes ausreicht. CVSS-Basiswert: 8.8 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.8 · EPSS: 0.0%

Betroffene Produkte: postgresql</description>
      <category>Hoch</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-6476 — PostgreSQL pg_createsubscriber – SQL-Injection ermöglicht Codeausführung als Superuser</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-6476</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-6476</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In PostgreSQL ermöglicht eine SQL-Injection-Schwachstelle in pg_createsubscriber einem Angreifer mit pg_create_subscription-Berechtigung, beliebigen SQL-Code als Superuser auszuführen. Der Angriff greift, sobald pg_createsubscriber erneut gestartet wird. CVSS-Basiswert: 7.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.2 · EPSS: 0.0%

Betroffene Produkte: postgresql</description>
      <category>Hoch</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-2007 — PostgreSQL pg_trgm: Heap Buffer Overflow über präparierte Eingabe</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-2007</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-2007</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>Ein Heap-Buffer-Overflow in der PostgreSQL-Erweiterung pg_trgm ermöglicht es einem Datenbankbenutzer, durch eine präparierte Eingabezeichenkette unbekannte Auswirkungen zu erzielen. Der Angreifer hat dabei eingeschränkte Kontrolle über die zu schreibenden Byte-Muster. CVSS-Basiswert: 8.2 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 8.2 · EPSS: 0.0%

Betroffene Produkte: postgresql</description>
      <category>Hoch</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-6479 — PostgreSQL – Unkontrollierte Rekursion bei SSL/GSS-Aushandlung ermöglicht Denial of Service</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-6479</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-6479</guid>
      <pubDate>Wed, 03 Jun 2026 00:00:00 GMT</pubDate>
      <description>In PostgreSQL ermöglicht eine unkontrollierte Rekursion bei der SSL- und GSS-Aushandlung einem Angreifer mit Zugang zu einem PostgreSQL AF_UNIX-Socket, einen anhaltenden Denial-of-Service-Zustand herbeizuführen. CVSS-Basiswert: 7.5 (Hoch). Ausnutzungswahrscheinlichkeit (EPSS): 0.0 %.

Severity: Hoch · CVSS: 7.5 · EPSS: 0.0%

Betroffene Produkte: postgresql</description>
      <category>Hoch</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-11945 — PostgreSQL Anonymizer: Rechteausweitung zu Superuser über präpariertes JSON</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-11945</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-11945</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>PostgreSQL Anonymizer enthält eine Schwachstelle, die es einem Nutzer erlaubt, durch Erstellen eines JSON-Dokuments mit schädlichem Code in einem bestimmten Schlüssel-Wert-Paar Superuser-Rechte zu erlangen. CVSS-Basiswert: 6.4 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 6.4 · EPSS: 0.2%

Betroffene Produkte: postgresql</description>
      <category>Mittel</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-54291 — PostgreSQL JDBC (pgjdbc): stilles Downgrade des Channel Binding</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-54291</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-54291</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>pgjdbc ist ein quelloffener PostgreSQL-JDBC-Treiber. In den Releases 42.7.4 bis 42.7.11 können Verbindungen mit `channelBinding=require` stillschweigend von SCRAM-SHA-256-PLUS mit Channel Binding auf ein einfaches Verfahren herabgestuft werden (weitere Details in der Quelle abgeschnitten). CVSS-Basiswert: 5.9 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.2 %.

Severity: Mittel · CVSS: 5.9 · EPSS: 0.2%

Betroffene Produkte: postgresql</description>
      <category>Mittel</category><category>PostgreSQL</category>
    </item>
    <item>
      <title>CVE-2026-13455 — PostgreSQL Anonymizer: Offline-Brute-Force gegen anon.hash()</title>
      <link>https://feed.xonatec.ch/reports/cve-2026-13455</link>
      <guid isPermaLink="true">https://feed.xonatec.ch/reports/cve-2026-13455</guid>
      <pubDate>Tue, 14 Jul 2026 00:00:00 GMT</pubDate>
      <description>PostgreSQL Anonymizer enthält eine Schwachstelle, bei der nicht privilegierte, maskierte Nutzer die Funktion anon.hash() wiederholt aufrufen und (Seed, Hash-Ausgabe)-Paare sammeln können, um einen Offline-Brute-Force-Angriff durchzuführen. CVSS-Basiswert: 4.3 (Mittel). Ausnutzungswahrscheinlichkeit (EPSS): 0.1 %. Empfohlene Massnahme: auf eine vom Hersteller bereitgestellte, fehlerbereinigte Version aktualisieren.

Severity: Mittel · CVSS: 4.3 · EPSS: 0.1%

Betroffene Produkte: postgresql</description>
      <category>Mittel</category><category>PostgreSQL</category>
    </item>
  </channel>
</rss>
