CVE-2026-32687 in postgrexinformação

Sumário

de VulDB • 21/05/2026

Vulnerabilidade de 'Injeção de SQL' (SQL Injection) devido à neutralização inadequada de elementos especiais utilizados num comando SQL na biblioteca elixir-ecto postgrex (módulo 'Elixir.Postgrex.Notifications').

O argumento channel passado para 'Elixir.Postgrex.Notifications':listen/3 e 'Elixir.Postgrex.Notifications':unlisten/3 é interpolado diretamente nas instruções SQL LISTEN "..." / UNLISTEN "..." sem escapar o carácter ". Um atacante que consiga influenciar o nome do canal pode injetar um " para escapar do identificador entre aspas e anexar SQL arbitrário. Como a ligação de notificações utiliza o protocolo de consulta simples do PostgreSQL, são aceites payloads com múltiplas instruções, permitindo encadear comandos DDL e DML (por exemplo, ; DROP TABLE ...; --). A mesma interpolação sem validação ocorre também em handle_connect/1 ao reproduzir comandos LISTEN após uma reconexão.

Esta vulnerabilidade está associada ao ficheiro de programa lib/postgrex/notifications.ex e às rotinas de programa 'Elixir.Postgrex.Notifications':listen/3, 'Elixir.Postgrex.Notifications':unlisten/3, 'Elixir.Postgrex.Notifications':handle_connect/1.

Esta questão afeta o postgrex: desde a versão 0.16.0 até à 0.22.2 (exclusivo), e a partir de pkg:github/elixir-ecto/postgrex@266b530faf9bde094e31e0e4ab851f933fadc0f5 até à 0.22.2 (exclusivo).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsável

EEF

Reservar

13/03/2026

Divulgação

12/05/2026

Moderação

aceite

Entrada

VDB-363039

CPE

pronto

EPSS

0.00009

KEV

não

Atividades

muito baixo

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32687
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32687
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32687/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!