CVE-2026-6478 in PostgreSQLinformation

Résumé

par VulDB • 14/05/2026

Un canal temporel furtif dans la comparaison des mots de passe hachés MD5 lors de l'authentification PostgreSQL permet à un attaquant de récupérer les identifiants utilisateur suffisants pour s'authentifier. Cela n'affecte pas les mots de passe scram-sha-256, qui sont par défaut dans toutes les versions prises en charge. Cependant, les bases de données actuelles peuvent contenir des mots de passe hachés MD5 provenant de mises à niveau depuis PostgreSQL 13 ou versions antérieures. Les versions antérieures à PostgreSQL 18.4, 17.10, 16.14, 15.18 et 14.23 sont concernées.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

PostgreSQL

Réserver

17/04/2026

Divulgation

14/05/2026

Modérer

accepté

Entrée

VDB-363875

CPE

prêt

CWE

CWE-385 (confirmé)

CVSS

6.5 (CNA)

EPSS

0.00076

KEV

non

Activités

faible

Secteur

Telecommunication, Hospital, ...

Sources

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6478
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6478
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6478/

◂ Précédent Aperçu Suivant ▸

Interested in the pricing of exploits?

See the underground prices here!