🟠 Alta


        VENCERT-2026-017


        CVE-2026-2006

Ejecución de código arbitrario por validación incorrecta de longitud de caracteres multibyte en PostgreSQL

Publicado: May 26, 2026 · Estado: Activa

Sistemas Afectados

PostgreSQL antes de: 18.2, 17.8, 16.12, 15.16, 14.21

Descripción

Falta de validación de la longitud de caracteres multibyte en rutinas de manipulación de texto del motor. El fallo se clasifica en el NVD como CWE-129 (validación incorrecta relacionada con índices/límites). El vector es red, pero el atacante necesita privilegio bajo en el sentido CVSS: es decir, cuenta con capacidad de conectarse y ejecutar SQL como usuario de la BD (no es típicamente “sin autenticación” como en otros CVEs).

Recomendaciones

Actualizar instancias que sigan por debajo del umbral vulnerable.

Referencias

https://nvd.nist.gov/vuln/detail/CVE-2026-2006

Información de la Alerta

Código:
VENCERT-2026-017

Severidad:
🟠 Alta

Estado:
Activa

CVE:
CVE-2026-2006

Publicado:
May 26, 2026

Volver a Alertas