CVE-2026-6472 in PostgreSQL情報

要約

〜によって VulDB • 2026年05月16日

PostgreSQLのCREATE TYPEコマンドにおける認可の欠如により、オブジェクト作成者がsearch_pathを使用してユーザー定義型（拡張機能で定義された型を含む）を検索する他のクエリをハイジャックできます。つまり、被害者は攻撃者が選択した任意のSQL関数を実行することになります。PostgreSQL 18.4、17.10、16.14、15.18、および14.23より前のバージョンが影響を受けます。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

責任者

PostgreSQL

予約する

2026年04月17日

公開

2026年05月14日

モデレーション

承諾済み

エントリ

VDB-363871

CPE

準備完了

CWE

CWE-862 (確認済み)

CVSS

5.4 (CNA)

EPSS

0.00030

KEV

いいえ

アクティビティ

非常低い

セクター

Energy, Insurance, ...

ソース

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-6472
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-6472
CVE Details	https://www.cvedetails.com/cve/CVE-2026-6472/

◂ 前概要次 ▸

Want to know what is going to be exploited?

We predict KEV entries!