AI обнаружила 20-летние уязвимости в PostgreSQL и MariaDB
Открытые базы данных столкнулись с проблемой памяти: AI помогла выявить ошибки переполнения буфера в широко используемых компонентах, которым уже десятки лет. Исследователи безопасности раскрыли набор уязвимостей высокой и критической степени опасности в PostgreSQL и MariaDB, причем два бага, по их словам, уходят корнями более чем на 20 лет назад.
На хакерском мероприятии Wiz zeroday.cloud исследователи, использовавшие инструмент анализа безопасности на базе AI «Xint Code», нашли уязвимость нулевого дня высокой степени опасности в расширении PostgreSQL «pgcrypto» и переполнение буфера кучи в логике проверки JSON schema в MariaDB; обе проблемы позволяли выполнить удаленный код (RCE) на соответствующих серверах баз данных.
Команда Xint Code также обнаружила в PostgreSQL ошибку отсутствия проверки, скрытую 20 лет, которая позволяла атакующим записывать произвольный код.
Для всех этих уязвимостей уже выпущены исправления, и сопровождающие PostgreSQL и MariaDB призвали пользователей немедленно обновиться до исправленных версий.
Больше одной трещины в фундаменте PostgreSQL
Более серьезная из уязвимостей PostgreSQL нулевого дня — это переполнение буфера кучи, отслеживаемое как CVE-2026-2005, в расширении «pgcrypto». Используя специально сформированный ввод, злоумышленник может вызвать несоответствие размера, которое приводит к записи за пределами границ кучи, сообщили исследователи в публикации в блоге.
В средах, где pgcrypto обрабатывает управляемый пользователем ввод, это можно использовать для выполнения удаленного кода на сервере базы данных. Уязвимость затрагивала все поддерживаемые версии и была исправлена в обновлениях, включая v18.2, v17.8, v16.12, v15.16 и v14.21. Ей присвоили высокий уровень опасности: CVSS 8,8 из 10. «Уязвимый код присутствовал с тех пор, как pgcrypto впервые был добавлен в 2005 году, то есть более 20 лет назад», — добавили исследователи.
Это была не единственная уязвимость, найденная в PostgreSQL. Другая группа исследователей, выступавшая как «Team Bugz Bunnies» на мероприятии Wiz, обнаружила ошибку отсутствия проверки, отслеживаемую как CVE-2026-2006, которая позволяет выполнять произвольный код. Уязвимости присвоили почти 9 баллов по CVSS, и ее исправили в тех же обновлениях, что закрыли CVE-2026-2005.
Сопровождающие PostgreSQL призвали клиентов как можно быстрее установить патчи, поскольку проблемы стали публичными после того, как их не замечали годами, а у атакующих уже есть код эксплойта. Исправления были выпущены в феврале, но анализ Wiz показал, что PostgreSQL используют 80% облачных сред, а 45% из них напрямую доступны из интернета.
Недостаточная обработка JSON позволила получить RCE на сервере MariaDB
В MariaDB инструмент Xint Code обнаружил ошибку переполнения буфера, отслеживаемую как CVE-2026-32710, в функции JSON_SCHEMA_VALID(). Уязвимость позволяет аутентифицированному пользователю вызвать сбой, который при контролируемых условиях можно было бы повысить до выполнения удаленного кода.
По сравнению с уязвимостями PostgreSQL эксплуатация здесь менее прямолинейна. Успешное выполнение кода потребовало бы манипуляции с расположением памяти, что достижимо только в «лабораторных условиях». «Любой пользователь, который может открыть SQL-сеанс — через украденные учетные данные, SQL-инъекцию или lateral movement — может попасть в этот путь выполнения одним вызовом функции», — сказали в отдельной публикации в блоге Team Xint Code.
Подвержены версии MariaDB 11.4.1–11.4.9 и 11.8.1–11.8.5; исправление выпущено в 11.4.10 и 11.8.6 соответственно. GitHub оценил уязвимость как высокую — 8,5, тогда как NIST присвоил ей критический базовый балл CVSS 9,9 из 10.
Материал впервые опубликован на CSO.
Материал — перевод статьи с английского.
Оригинал: AI finds 20-year-old bugs in PostgreSQL and MariaDB