CVE-2026-6478
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 42 - wyżej niż 42% wszystkich znanych CVE
Streszczenie
W procesie uwierzytelniania PostgreSQL wykryto ukryty kanał czasowy przy porównywaniu haseł zahaszowanych algorytmem MD5. Umożliwia on atakującemu odtworzenie danych uwierzytelniających wystarczających do zalogowania się. Podatność nie dotyczy domyślnego schematu scram-sha-256, ale może występować w bazach danych, które zachowały starsze hasła MD5 z poprzednich wersji.
Ocena ryzyka
Atakujący może wykorzystać pomiary czasu odpowiedzi serwera, aby odzyskać hasła MD5 i uzyskać nieautoryzowany dostęp do bazy danych. Ryzyko jest szczególnie wysokie w środowiskach, gdzie nadal używane są hasła MD5 pochodzące z aktualizacji z PostgreSQL 13 lub wcześniejszych.
Rekomendacja
Należy niezwłocznie zaktualizować PostgreSQL do wersji 18.4, 17.10, 16.14, 15.18 lub 14.23. Po aktualizacji zaleca się wymuszenie zmiany haseł użytkowników na nowe, generowane z użyciem scram-sha-256.
Oryginalny opis (angielski, źródło NVD)
Covert timing channel in comparison of MD5-hashed password in PostgreSQL authentication allows an attacker to recover user credentials sufficient to authenticate. This does not affect scram-sha-256 passwords, the default in all supported releases. However, current databases may have MD5-hashed passwords originating in upgrades from PostgreSQL 13 or earlier. Versions before PostgreSQL 18.4, 17.10, 16.14, 15.18, and 14.23 are affected.

