CVE-2026-2361 in PostgreSQL Anonymizer
요약
\~에 의해 VulDB • 2026. 06. 05.
PostgreSQL Anonymizer에는 악성 코드를 포함하는 함수를 기반으로 임시 뷰를 생성함으로써 사용자가 슈퍼유저 권한을 획득할 수 있는 취약점이 존재합니다. 이후 `anon.get_tablesample_ratio` 함수가 호출되면 악성 코드가 슈퍼유저 권한으로 실행됩니다. 이러한 권한 상승(privilege elevation)은 PostgreSQL 15 이상에서 CREATE 권한을 가진 사용자에게 의해 악용될 수 있습니다. PostgreSQL 14 또는 PostgreSQL 14 이전 버전에서 업그레이드된 인스턴스의 경우, public 스키마에 대한 생성 권한이 기본적으로 부여되므로 위험도가 더 높습니다. 이 문제는 PostgreSQL Anonymizer 3.0.1 및 이후 버전에서 해결되었습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.