CVE-2026-6472 in PostgreSQLinformation

Résumé

par VulDB • 14/05/2026

Une absence d'autorisation dans la commande CREATE TYPE de PostgreSQL permet à un créateur d'objet de détourner d'autres requêtes qui utilisent search_path pour rechercher des types définis par l'utilisateur, y compris les types définis par des extensions. En d'autres termes, la victime exécutera des fonctions SQL arbitraires choisies par l'attaquant. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

PostgreSQL

Réserver

17/04/2026

Divulgation

14/05/2026

Modérer

accepté

Entrée

VDB-363871

CPE

prêt

CWE

CWE-862 (confirmé)

CVSS

5.4 (CNA)

EPSS

0.00030

KEV

non

Activités

très faible

Secteur

Energy, Agriculture, ...

Sources

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6472
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6472
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6472/

◂ Précédent Aperçu Suivant ▸

Do you need the next level of professionalism?

Upgrade your account now!