PostgreSQL全球开发组于2026年5月14日发布安全更新,覆盖18.4、17.10、16.14、15.18及14.23五个维护版本。此次更新共修复11个安全漏洞和60余个程序缺陷。

其中两个漏洞被评为高危(CVSS 8.8分)。第一个涉及CREATE TYPE命令的权限缺失:攻击者可利用搜索路径(search_path)机制劫持其他查询,使受害者在调用用户自定义类型时执行攻击者指定的SQL函数。该漏洞影响14至18版本,由Jelte Fennema-Nio报告。

打开网易新闻 查看精彩图片

第二个高危漏洞存在于pg_basebackup和pg_rewind工具中。攻击者可通过符号链接覆盖操作系统账户的关键文件(如.bashrc),实现权限提升。腾讯XlabAI团队的Valery Gubanov参与报告了该问题。

打开网易新闻 查看精彩图片

此外,整数溢出漏洞可导致服务器内存越界写入并触发段错误;timeofday()函数的格式字符串漏洞允许攻击者通过构造时区参数读取服务器内存片段。这两个问题分别由Anemone、A1ex等多人团队及Xint Code报告。

打开网易新闻 查看精彩图片

开发组特别提醒:PostgreSQL 14将于2026年11月12日终止支持,生产环境用户需尽快制定升级计划。完整变更列表详见官方发行说明。