PostgreSQL は 2026 年 5 月 14 日に緊急セキュリティアップデートをリリースしました。このアップデートはすべてのサポート対象バージョン 18.4、17.10、16.14、15.18、14.23 をカバーしており、スタックバッファオーバーフロー、SQL インジェクション、メモリ開示、サービス拒否脆弱性を含む 11 個の CVE に対処しています。
この調整されたリリースはすべてのアクティブにサポートされている PostgreSQL メジャーバージョン(14~18)に影響する脆弱性にパッチを適用し、アップデートには 60 以上の追加バグ修正がバンドルされています。
このアップデートを緊急と扱うセキュリティアナリストは、信頼の境界を越えた論理レプリケーションを実行している組織のリスク、特に低権限ユーザーがサブスクリプションコマンドを悪用して権限昇格する可能性がある場合に注目しています。
CVE-2026-6637(CVSS 8.8)として追跡される最も危険な脆弱性は PostgreSQL の refint contrib モジュールに存在します。
リモートの非特権データベースユーザーが細工されたInput を供給してスタックベースのバッファオーバーフローをトリガーし、データベースサーバーを実行している OS ユーザーとして任意のコードを実行できます。
別の攻撃ベクトルはアプリケーションがユーザーコントロール列を refint カスケード主キーとして公開する場合に SQL インジェクションを有効にし、主キーの更新中にデータベースユーザーの権限で任意の SQL 実行を許可します。
マネージドクラウドデータベースの場合、マイナーバージョンパッチはメンテナンスウィンドウ中に適用されます。管理者はコンソールで現在のマイナーバージョンを確認し、パッチが適用されたリリースにまだアップグレードされていない場合は手動アップグレードをトリガーする必要があります。
PostgreSQL 14 は、現在バージョン 14.23 にパッチが適用されており、2026 年 11 月 12 日にサポート終了を迎えた後、セキュリティ修正はこれ以上受け取りません。
本番環境でバージョン 14 を実行している管理者は、このアップデートをサポートウィンドウが閉じる前に PostgreSQL 16 または 17 へのメジャーバージョンアップグレードを同時に計画する最後の機会として扱う必要があります。
翻訳元: https://cyberpress.org/postgresql-code-execution-sql-injection/