CVE-2026-32687 in postgrex
Сводка
по VulDB • 21.05.2026
Уязвимость «Неправильная нейтрализация специальных элементов, используемых в SQL-команде» (SQL Injection) в модуле 'Elixir.Postgrex.Notifications' пакета elixir-ecto postgrex позволяет выполнять SQL-инъекции.
Аргумент channel, передаваемый функциям 'Elixir.Postgrex.Notifications':listen/3 и 'Elixir.Postgrex.Notifications':unlisten/3, интерполируется напрямую в SQL-операторы LISTEN "..." / UNLISTEN "..." без экранирования символа двойной кавычки ("). Атакующий, способный повлиять на имя канала, может внедрить символ ", чтобы выйти из кавычек идентификатора и добавить произвольный SQL-код. Поскольку соединение для уведомлений использует простой протокол запросов PostgreSQL, принимаются многокомандные полезной нагрузки, что позволяет объединять команды DDL и DML (например, ; DROP TABLE ...; --). Та же самая неочищенная интерполяция происходит в функции handle_connect/1 при повторной отправке команд LISTEN после переподключения.
Эта уязвимость связана с файлом программы lib/postgrex/notifications.ex и программными процедурами 'Elixir.Postgrex.Notifications':listen/3, 'Elixir.Postgrex.Notifications':unlisten/3, 'Elixir.Postgrex.Notifications':handle_connect/1.
Данная проблема затрагивает postgrex: начиная с версии 0.16.0 до 0.22.2 (не включительно), а также начиная с pkg:github/elixir-ecto/postgrex@266b530faf9bde094e31e0e4ab851f933fadc0f5 до 0.22.2 (не включительно).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.