BDU:2026-01726

Опубликовано: 12 фев. 2026

Источник: fstec

CVSS3: 4.3

CVSS2: 4

EPSS Низкий

Описание

Уязвимость функции обработки типов данных oidvector системы управления базами данных PostgreSQL связана с чтением за границами буфера памяти. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, раскрыть байты памяти сервера и получить доступ к конфиденциальной информации

Вендор

ООО «Ред Софт»

ООО «РусБИТех-Астра»

АО «ИВК»

АО «СберТех»

PostgreSQL Global Development Group

Postgres Professional

Наименование ПО

РЕД ОС

Astra Linux Special Edition

Альт 8 СП

АЛЬТ СП 10

Platform V SberLinux OS Server

PostgreSQL

Postgres Pro Certified

СУБД «Platform V Pangolin DB»

Версия ПО

7.3 (РЕД ОС)

1.7 (Astra Linux Special Edition)

- (Альт 8 СП)

- (АЛЬТ СП 10)

9 (Platform V SberLinux OS Server)

до 18.2 (PostgreSQL)

до 17.8 (PostgreSQL)

до 16.12 (PostgreSQL)

до 15.16 (PostgreSQL)

до 14.21 (PostgreSQL)

до 18.2 (Postgres Pro Certified)

до 17.8 (Postgres Pro Certified)

до 16.12 (Postgres Pro Certified)

до 15.16 (Postgres Pro Certified)

до 14.21 (Postgres Pro Certified)

до 6.4.2-cve5 (СУБД «Platform V Pangolin DB»)

Тип ПО

Операционная система

СУБД

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3

ООО «РусБИТех-Астра» Astra Linux Special Edition 1.7

АО «ИВК» Альт 8 СП -

АО «ИВК» АЛЬТ СП 10 -

АО «СберТех» Platform V SberLinux OS Server 9

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)

Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,3)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:

Для PostgreSQL:

https://www.postgresql.org/support/security/CVE-2026-2003/

Для Postgres Pro Certified:

https://postgrespro.ru/products/postgrespro/certified

Компенсирующие меры:

- Ограничение прав доступа у пользователей, не являющихся администраторами. Отозвать права на выполнение опасных операций у пользователей, не являющихся администраторами:

REVOKE EXECUTE ON FUNCTION problematic_function() FROM PUBLIC;

- Отключение опасных приведения типов.

Если возможно, удалить или временно отключить неявные приведения (CAST) между oid[] → oidvector и int2[] → int2vector:

DROP CAST IF EXISTS (oid[] AS oidvector);

DROP CAST IF EXISTS (int2[] AS int2vector);

- отключение/удаление не используемых учётных записей пользователей;

- использовать мониторинг журналов аудита на предмет подозрительной активности.

Для Platform V Pangolin DB:

Обновление до версии 6.4.2-cve5

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2026-2003
CVE

EPSS

Процентиль: 5%

0.00019

Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2

Связанные уязвимости

CVE-2026-2003

CVSS3: 4.3

ubuntu

около 1 месяца назад

Improper validation of type "oidvector" in PostgreSQL allows a database user to disclose a few bytes of server memory. We have not ruled out viability of attacks that arrange for presence of confidential information in disclosed bytes, but they seem unlikely. Versions before PostgreSQL 18.2, 17.8, 16.12, 15.16, and 14.21 are affected.

CVE-2026-2003

CVSS3: 4.3

redhat

около 1 месяца назад

CVE-2026-2003

CVSS3: 4.3

nvd

около 1 месяца назад

CVE-2026-2003

CVSS3: 4.3

debian

около 1 месяца назад

Improper validation of type "oidvector" in PostgreSQL allows a databas ...

GHSA-f3vj-j2m6-8hfj

CVSS3: 4.3

github

около 1 месяца назад

EPSS

Процентиль: 5%

0.00019

Низкий

4.3 Medium

CVSS3

4 Medium

CVSS2