20O PostgreSQL Global Development Group lançou atualizações de segurança para corrigir 11 vulnerabilidades em versões suportadas do banco de dados, incluindo falhas que podem permitir execução de código, injeção SQL, vazamento de memória e sobrescrita de arquivos.
As correções foram publicadas nas versões PostgreSQL 18.4, 17.10, 16.14, 15.18 e 14.23.
Todos os ramos suportados entre 14 e 18 são afetados por ao menos parte dos problemas, o que torna a atualização prioritária para ambientes de produção.
A falha mais sensível é a CVE-2026-6637, localizada no módulo refint, usado para reforçar integridade referencial. Um estouro de buffer na pilha pode permitir que um usuário sem privilégios no banco execute código arbitrário com a conta do sistema operacional que roda o PostgreSQL.
A mesma vulnerabilidade também pode abrir caminho para injeção SQL em cenários específicos.
Isso ocorre quando uma aplicação expõe uma coluna controlada pelo usuário como chave primária em cascata do refint e permite sua atualização.
Outras falhas afetam componentes de replicação lógica. A CVE-2026-6476 atinge o pg_createsubscriber e permite que um usuário com permissão pg_create_subscription injete SQL executado com privilégios de superusuário quando a ferramenta é chamada.
Administradores devem atualizar para as versões corrigidas sem necessidade de dump/restore ou pg_upgrade, pois se trata de atualização minoritária.
