Katalog CVE

CVE-2026-13455

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Podatność w PostgreSQL Anonymizer umożliwia nieuprzywilejowanym użytkownikom z maskowaniem wielokrotne wywoływanie funkcji anon.hash() i zbieranie par (seed, hash_output) w celu przeprowadzenia ataku brute-force offline i odgadnięcia soli.

Ocena ryzyka

Ryzyko polega na tym, że atakujący może odtworzyć sól używaną do maskowania danych, co może prowadzić do ujawnienia oryginalnych wartości wrażliwych danych.

Rekomendacja

Zaleca się natychmiastową aktualizację PostgreSQL Anonymizer do wersji 3.1.2 lub nowszej, która usuwa tę podatność.

Oryginalny opis (angielski, źródło NVD)

PostgreSQL Anonymizer contains a vulnerability that allows unprivileged masked users to repeatedly call the anon.hash() function and collects (seed, hash_output) pairs to perform an offline brute-force attack and deduce the salt. The problem is resolved in PostgreSQL Anonymizer 3.1.2 and later versions

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS