发布时间:2026-05-14
发布机构:PostgreSQL 全球开发组
PostgreSQL 全球开发组完成全系支持版本迭代更新,本次更新覆盖 18.4、17.10、16.14、15.18、14.23 五个版本。新版本共计修复 11 项安全漏洞,同时解决过去数月内上报的六十余项程序缺陷。
完整变更内容可查阅官方版本说明文档。
PostgreSQL 14 版本终止维护通知
PostgreSQL 14 将于 2026 年 11 月 12 日停止漏洞修复与版本维护。部署该版本的生产业务环境,建议规划升级方案,迁移至仍处于维护周期的新版数据库。可参考官方版本生命周期相关规则策略文档。
安全漏洞详情
CVE-2026-6472:CREATE TYPE 权限校验缺失
通用漏洞评分:5.4
影响版本:14 至 18 全系列
CREATE TYPE 在处理 multirange 类型时,未正确校验 schema 的 CREATE 权限。攻击者可借助 search_path 劫持用户自定义类型解析流程,使受害查询执行任意 SQL 函数。本次更新前的旧版本均存在该安全隐患。
潜在影响:
- SQL 劫持
- 扩展类型污染
- 任意函数执行
CVE-2026-6473:整型数值溢出引发内存分配空间不足
通用漏洞评分:8.8
影响版本:14 至 18 全系列
PostgreSQL多项核心功能存在整型溢出问题,外部输入数据可造成内存分配尺寸异常,触发越界写入行为,最终导致服务进程段错误崩溃。本次更新前的旧版本均存在该安全隐患。
潜在风险:
- 内存分配尺寸错误
- 越界写入
- Segment Fault 崩溃
CVE-2026-6474:timeofday 函数存在服务器内存信息泄露风险
通用漏洞评分:4.3
影响版本:14 至 18 全系列
timeofday 函数存在外部可控格式化字符串问题。攻击者可通过构造特殊 timezone 配置,读取部分服务器内存内容。
潜在风险:
- 信息泄露
- 内存数据暴露
CVE-2026-6475:备份与数据回退工具可覆盖系统无关文件
通用漏洞评分:8.8
影响版本:14 至 18 全系列
物理备份与数据回退功能支持软链接解析,数据库超级管理员可篡改服务器本地系统文件,进而劫持系统账号。相关命令执行后,服务启动环节会默认信任原操作管理员身份,仅在命令执行后迁移数据、制作虚拟机快照等场景下,该攻击可形成实际危害。本次更新前的旧版本均存在该安全隐患。
pg_basebackup 与 pg_rewind 在处理符号链接时存在缺陷。数据库超级管理员可篡改服务器本地系统文件,进而劫持系统账号,例如:/var/lib/postgres/.bashrc
可能导致:
- 操作系统账户劫持
- 环境污染
- 恶意脚本植入
该问题主要影响:
- 跨节点复制
- 备份恢复
- 容器镜像迁移
- VM 快照场景
CVE-2026-6476:订阅创建接口存在 SQL 注入漏洞
通用漏洞评分:7.2
影响版本:17、18 版本
pg_createsubscriber 对 subscription 名称缺乏安全处理。拥有 pg_create_subscription 权限的用户,可借此以超级用户身份执行任意 SQL。属于逻辑复制体系中的高危权限提升漏洞。18.4、17.10 之前的次级版本受此漏洞影响,17 版本以下无风险。
CVE-2026-6477:libpq lo_* 系列函数客户端存在栈内存篡改漏洞
通用漏洞评分:8.8
影响版本:14 至 18 全系列
libpq 中 lo_export()、lo_read()、lo_lseek64()、lo_tell64(),使用了危险接口PQfn(..., result_is_int=0, ...)。数据库超级管理员可通过超长返回数据改写客户端栈缓冲区。
影响范围包括:
- psql
- pg_dump
- Large Object 相关工具链
CVE-2026-6478:时间侧信道可窃取 MD5 哈希账号密码
通用漏洞评分:6.5
影响版本:14 至 18 全系列
账号认证阶段比对 MD5 哈希密码时存在时间侧信道,攻击者可依托该特征还原账号认证凭据。 13 及更早版本升级而来的库中留存的 MD5 密码存在泄露风险。数据库默认采用的 SCRAM-SHA-256 加密方式不受影响。
CVE-2026-6479:SSL 与 GSS 协议初始化触发递归拒绝服务
通用漏洞评分:7.5
影响版本:14 至 18 全系列
SSL 与 GSS 协商过程中存在无限递归问题。攻击者可通过AF_UNIX Socket、TCP Socket(关闭 SSL/GSS 时),触发持续拒绝服务攻击,造成服务持续瘫痪。可能表现为PostgreSQL 无响应、CPU 异常占用、连接耗尽。
CVE-2026-6575:属性统计恢复引发数组越界读取
通用漏洞评分:4.3
影响版本:仅 18 系列
pg_restore_attribute_stats() 存在缓冲区越界读取(Buffer Over-read)问题。该函数允许传入长度不匹配的数组值,导致查询规划阶段读取超出某一数组末尾的数据。攻击者可借此使表维护者推断数组末尾之后的内存内容
CVE-2026-6637:refint 模块存在栈溢出与注入风险
通用漏洞评分:8.8
影响版本:14 至 18 全系列
refint 模块存在两类安全问题:一是为栈缓冲区溢出漏洞,低权限数据库用户可借此执行任意代码;二是为 SQL 注入漏洞,当应用允许用户控制 refint cascade 主键或主键更新值时,攻击者可执行任意 SQL。该问题属于高危扩展模块漏洞。
CVE-2026-6638:出版物刷新操作存在表名注入漏洞
通用漏洞评分:3.7
影响版本:16、17、18 版本
逻辑复制中 ALTER SUBSCRIPTION ... REFRESH PUBLICATION 存在表名 SQL 注入问题。订阅端表创建者可借助 publication 侧凭据执行任意 SQL。属于逻辑复制链路中的权限边界缺陷。
Bug 修复与功能优化
本次更新累计修复60余项程序问题,下述问题主要影响 18 版本,部分问题也可能影响其他版本。
- 修复唯一索引使用非确定性排序规则时,查询结果异常问题。
- 修正外键触发器延迟属性失效故障,约束状态切换后属性异常可通过重新开关强制恢复。
- 优化查询优化器逻辑,扩大分区裁剪功能适用场景范围。
- 完善自连接剔除机制,适配布尔类型字段关联条件。
- 修复虚拟生成列相关多项异常,保障冲突写入语句正常引用虚拟列数据。
- 多隔离级别下,合并语句遇见并发更新数据时,正常抛出序列化异常提示。
- 解决源表存在已删除字段时,复刻数据表同步统计信息失败问题。
- 调整无重叠约束逻辑,支持域类型数据使用。
- 限制多范围模式下复合类型自引用创建行为。
- 修复并行聚合场景数组聚合函数计算结果出错问题。
- 规避增量备份恢复过程中数据膨胀现象。
- 解决逻辑复制同步进程卡死,阻碍备库提升为主库的问题。
- 系统视图进程字段无归属进程时统一展示空值,不再默认显示数值 0。
- 修复复制状态视图正常同步却延迟数据为空的显示异常。
- 分组统计语句可正常识别关联表别名变量。
- 数据库启动进程异常终止时,同步关停所有子进程。
- 修复备库同步旧版本主库日志时,反复崩溃重启的竞争条件缺陷。
- 避免逻辑复制数据推送阶段,日志发送进程关闭流程无限阻塞。
- 确保故障恢复阶段空闲空间映射数据持久落地,规避备库升级后性能异常。
- 修复备份解压、归档解析相关程序漏洞。
- 全局备份工具恢复历史授权逻辑,针对新版本源库缺失授权人信息给出告警提示。
- 版本升级工具适配旧版本数据库连接协议。
- 修正范围表模式下深度执行计划解析输出错误。
- 解决外部表连接异常未及时清理,引发程序崩溃问题。
此外,还同步更新时区数据库至 2026b 版本。
- 加拿大不列颠哥伦比亚地区自 2026 年 11 月起全年采用西七区标准时间,时区标识暂定 MST。
- 修正摩尔多瓦时区规则,该地区自 2022 年起沿用欧盟夏令时切换标准。
版本升级说明
本次迭代为累积式更新,次级版本升级无需导出导入数据,也无需调用版本升级工具,停止服务后替换程序二进制文件即可完成部署。跨多个次级版本升级时,需参照历史版本说明执行配套后置操作。详细变更内容可查阅官方版本说明文档。
相关入口
针对版本公告存在修正建议,可发送邮件至官方公开邮件列表 pgsql-www@lists.postgresql.org。
原文链接:
https://www.postgresql.org/about/news/postgresql-184-1710-1614-1518-and-1423-released-3297/