CVE-2026-6637: Luka w PostgreSQL pozwala na wykonanie kodu

Wydano aktualizacje bezpieczeństwa dla wszystkich wspieranych gałęzi PostgreSQL, naprawiając łącznie 11 luk w zabezpieczeniach ¹. Wśród nich znajduje się CVE-2026-6637 – podatność o wysokiej krytyczności, która może pozwolić na przejęcie kontroli nad serwerem bazy danych. Luka dotyczy szerokiego spektrum wersji popularnego systemu bazodanowego, używanego w wielu polskich firmach z sektora MŚP i e-commerce.

Zaobserwowano, że podatność ma dwa odrębne wektory ataku. Główny z nich to błąd przepełnienia bufora na stosie, umożliwiający zdalne wykonanie kodu. Drugi, bardziej warunkowy – to wstrzyknięcie SQL. Co istotne, atak nie jest możliwy zdalnie bez uwierzytelnienia ². Wymaga od atakującego posiadania, nawet niskouprzywilejowanych, danych dostępowych do bazy danych. To scenariusz eskalacji uprawnień, a nie początkowego włamania.

TL;DR

• Produkt: PostgreSQL, wszystkie wspierane gałęzie przed aktualizacją.
• Wektor: Przepełnienie bufora na stosie (stack buffer overflow) w module „refint” ³. Prowadzi do RCE (Remote Code Execution — zdalne wykonanie kodu) ⁴. Drugi wektor to SQL Injection w specyficznych warunkach ⁵.
• CVE-ID: CVE-2026-6637, ocena CVSS (Common Vulnerability Scoring System) 8.8 (High).
• Wskaźniki naruszenia: Brak publicznych IoC (Indicators of Compromise — wskaźników kompromitacji). Atak wymaga uwierzytelnienia, co ogranicza możliwość masowego skanowania.
• Kogo dotyczy: Administratorzy systemów i aplikacji korzystających z PostgreSQL w wersjach starszych niż 18.4, 17.10, 16.14, 15.18 oraz 14.23 ⁶.
• Pierwszy ruch reagowania: Natychmiastowa aktualizacja do najnowszej wersji minor zgodnie z zaleceniami producenta ⁷.

Wektor ataku

Analiza luki CVE-2026-6637 wskazuje na dwa scenariusze kompromitacji. Oba dotyczą modułu „refint”, który odpowiada za integralność referencyjną.

Scenariusz 1: Przepełnienie bufora i wykonanie kodu (RCE)

Głównym zagrożeniem jest błąd typu stack buffer overflow ³. Występuje on podczas przetwarzania operacji w module „refint”. Atakujący, który posiada jakiekolwiek, nawet bardzo ograniczone, uprawnienia do bazy danych, może spreparować specjalne zapytanie. Jego wykonanie prowadzi do nadpisania pamięci na stosie procesu serwera PostgreSQL.

Konsekwencją jest możliwość wykonania dowolnego kodu maszynowego ⁴. Kod ten uruchamiany jest z uprawnieniami użytkownika systemu operacyjnego, w kontekście którego działa serwer bazy danych. W większości standardowych instalacji na systemach Linux jest to użytkownik postgres. Uzyskanie powłoki z uprawnieniami tego konta może dać atakującemu pełną kontrolę nad bazą danych — możliwość odczytu, modyfikacji i usunięcia wszystkich danych. Może to również stworzyć platformę do dalszych ataków na system operacyjny i sieć wewnętrzną.

Należy podkreślić, że luka nie jest zdalnie eksploatowalna bez wcześniejszego uwierzytelnienia ². Atakujący musi najpierw zdobyć dane logowania do bazy. Może to zrobić poprzez inną lukę w aplikacji webowej, phishing lub kradzież danych konfiguracyjnych z serwera. Dlatego podatność ta jest szczególnie groźna w scenariuszach, gdzie aplikacja webowa (np. sklep internetowy, system CRM) łączy się z bazą przy użyciu konta o zbyt szerokich uprawnieniach.

Scenariusz 2: Wstrzyknięcie SQL (SQL Injection)

Drugi, odrębny wektor ataku jest możliwy w bardziej specyficznej konfiguracji ⁵. Jeśli aplikacja używa kolumny kontrolowanej przez użytkownika jako klucza podstawowego z opcją CASCADE w module „refint” i jednocześnie pozwala na aktualizację wartości w tej kolumnie, powstaje ryzyko wstrzyknięcia SQL.

Atakujący, kontrolując wartość podawaną podczas aktualizacji klucza, może wstrzyknąć dowolne polecenie SQL ⁸. Zostanie ono wykonane z uprawnieniami użytkownika bazy danych, którego aplikacja używa do połączenia. Chociaż ten scenariusz jest mniej prawdopodobny niż RCE, wciąż może pozwolić na nieautoryzowany odczyt lub modyfikację danych, omijając logikę biznesową aplikacji. ## Wskaźniki kompromitacji

Na dzień publikacji tego alertu nie są znane żadne publiczne wskaźniki naruszenia (IoC) – takie jak hashe plików, adresy IP czy domeny serwerów C2 (Command and Control) – powiązane z eksploitacją CVE-2026-6637. Charakter luki, wymagającej uwierzytelnienia, sprawia, że jest ona trudniejsza do wykrycia za pomocą pasywnego skanowania sieci.

Zalecamy proaktywne przeszukiwanie logów serwera PostgreSQL pod kątem nietypowych lub zakończonych błędem zapytań kierowanych do modułu „refint”, szczególnie pochodzących z kont o niskich uprawnieniach.

Co zrobić w 24-48h

Zalecamy podjęcie natychmiastowych działań w celu mitygacji ryzyka. Priorytetem jest aktualizacja oprogramowania.

1. Identyfikacja i aktualizacja: Należy zidentyfikować wszystkie instancje PostgreSQL w infrastrukturze i zweryfikować ich wersje. Wszystkie systemy w wersjach starszych niż 18.4, 17.10, 16.14, 15.18 oraz 14.23 są podatne ⁶. Należy je niezwłocznie zaktualizować do najnowszych wersji minor, które zawierają łatkę bezpieczeństwa. Oficjalne zalecenia i odnośniki do aktualizacji dostępne są na stronie PostgreSQL Global Development Group ⁷.

2. Audyt uprawnień w bazie danych: Niezależnie od aktualizacji zalecamy przegląd kont użytkowników w bazie danych. Należy usunąć nieużywane konta i zminimalizować uprawnienia dla kont aplikacyjnych zgodnie z zasadą najmniejszego przywileju (Principle of Least Privilege). To działanie może ograniczyć powierzchnię ataku w przypadku przyszłych podobnych luk.

3. Monitoring i logowanie: Warto włączyć i wzmocnić logowanie zapytań do bazy danych. Zespoły SOC (Security Operations Center) powinny skonfigurować alerty na nietypowe błędy lub awarie procesu PostgreSQL, które mogą wskazywać na próbę eksploitacji.

4. Kontekst polski (NIS2 i RODO): Dla polskich firm i instytucji publicznych, które podlegają pod dyrektywę NIS2 (unijna dyrektywa o bezpieczeństwie sieci) – szybkie załatanie luki o tak wysokim wyniku CVSS jest obowiązkiem wynikającym z zasady należytej staranności. Incydent prowadzący do wycieku danych osobowych z bazy PostgreSQL może również skutkować koniecznością zgłoszenia naruszenia do Urzędu Ochrony Danych Osobowych (UODO) zgodnie z RODO (Rozporządzenie o Ochronie Danych Osobowych). Aktualizacja jest najskuteczniejszą metodą obrony. Powyższe kroki stanowią rekomendowane podejście i nie zastępują pełnej analizy ryzyka ani konsultacji z ekspertami ds. bezpieczeństwa.

Źródła

Zobacz też

• Krytyczna luka w Thunderbird
• Luka RCE w Microsoft Edge (CVE-2026-45495) – pilna aktualizacja
• PostgreSQL: Luka SQL Injection (CVE-2026-6476) w wersjach 17 i 18

Footnotes

1. PostgreSQL Global Development Group wydała krytyczne aktualizacje bezpieczeństwa dla wszystkich wspieranych gałęzi, naprawiając 11 luk, w tym wykonanie dowolnego kodu i kilka błędów SQL injection. — https://cvefeed.io/vuln/detail/CVE-2026-6637 ↩

2. Luka CVE-2026-6637 nie jest zdalnie eksploatowalna. — https://cvefeed.io/vuln/detail/CVE-2026-6637 ↩ ↩²

3. W module „refint” PostgreSQL występuje błąd typu stack buffer overflow. — https://nvd.nist.gov/vuln/detail/CVE-2026-6637 ↩ ↩²

4. Luka stack buffer overflow pozwala nieuprawnionemu użytkownikowi bazy danych na wykonanie dowolnego kodu jako użytkownik systemu operacyjnego, który uruchamia bazę danych. — https://nvd.nist.gov/vuln/detail/CVE-2026-6637 ↩ ↩²

5. Możliwy jest odrębny atak, jeśli aplikacja deklaruje kontrolowaną przez użytkownika kolumnę jako klucz podstawowy „refint” cascade i umożliwia kontrolowane przez użytkownika aktualizacje tej kolumny. — https://nvd.nist.gov/vuln/detail/CVE-2026-6637 ↩ ↩²

6. Dotknięte są wersje PostgreSQL starsze niż 18.4, 17.10, 16.14, 15.18 i 14.23. — https://nvd.nist.gov/vuln/detail/CVE-2026-6637 ↩ ↩²

7. Dostępne jest doradztwo dostawcy dotyczące łaty pod adresem https://www.postgresql.org/support/security/CVE-2026-6637/. — https://cvefeed.io/vuln/detail/CVE-2026-6637 ↩ ↩²

8. W przypadku ataku opisanego w F3, SQL injection pozwala dostawcy wartości aktualizacji klucza podstawowego na wykonanie dowolnego SQL jako użytkownik bazy danych wykonujący aktualizację klucza podstawowego. — https://nvd.nist.gov/vuln/detail/CVE-2026-6637 ↩