Katalog CVE

CVE-2026-11945

ŚrednieCVSS 6.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.20%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

PostgreSQL Anonymizer zawiera podatność, która pozwala użytkownikowi uzyskać uprawnienia superużytkownika poprzez stworzenie dokumentu JSON z złośliwym kodem w określonej parze klucz-wartość. Jeśli superużytkownik wywoła funkcje import_database_rules() lub import_roles_rules(), złośliwy kod zostanie wykonany z uprawnieniami superużytkownika.

Ocena ryzyka

Podatność ta stwarza poważne ryzyko dla bezpieczeństwa systemu, umożliwiając nieautoryzowanym użytkownikom uzyskanie pełnych uprawnień do bazy danych. Może to prowadzić do nieautoryzowanego dostępu do danych oraz ich modyfikacji.

Rekomendacja

Zaleca się aktualizację PostgreSQL Anonymizer do wersji 3.1.1 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt uprawnień użytkowników oraz monitorować wywołania funkcji importujących.

Oryginalny opis (angielski, źródło NVD)

PostgreSQL Anonymizer contains a vulnerability that allows a user to gain superuser privileges by creating a JSON document and placing malicious code inside a particular key-value pair. If a superuser calls the import_database_rules() or import_roles_rules() functions, the malicious code is executed with superuser privileges. The problem is resolved in PostgreSQL Anonymizer 3.1.1 and further versions

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS