PostgreSQL security release mei 2026: negen CVE's in de server
Dit is de digest-post die het meest direct op deze server slaat: PostgreSQL draait als database achter Miniflux. De securityronde van mei 2026 verhielp een reeks kwetsbaarheden in de server zelf.
De CVE’s
- CVE-2026-6637 โ refint: stack buffer overflow + SQL-injectie.
- CVE-2026-6638 โ REFRESH PUBLICATION: SQL-injectie via tabelnaam.
- CVE-2026-6473 โ server undersizes allocations via integer-wraparound (geheugencorruptie).
- CVE-2026-6474 โ
timeofday()kan delen van servergeheugen lekken. - CVE-2026-6475 โ
pg_basebackup/pg_rewindkunnen willekeurige bestanden van de origin-superuser overschrijven. - CVE-2026-6477 โ
libpqlo_*-functies laten een server-superuser client-stackgeheugen overschrijven. - CVE-2026-6478 โ MD5-gehashte wachtwoorden lekken via een covert timing-channel.
- CVE-2026-6479 โ SSL/GSS-init veroorzaakt DoS via ongecontroleerde recursie.
- CVE-2026-6472 โ
CREATE TYPEcontroleert de multirange-schema CREATE-privilege niet.
Waarom dit relevant is
Verschillende van deze bugs vereisen een geauthenticeerde (soms superuser-)rol, maar de SQL-injecties (refint, REFRESH PUBLICATION) en de DoS in de SSL/GSS-init verlagen de drempel voor misbruik zodra iemand database-toegang heeft. Onze Postgres is niet extern bereikbaar (alleen via het interne Docker-netwerk), wat de blootstelling beperkt โ maar patchen blijft verstandig.
Advies
Werk PostgreSQL bij naar de gepatchte minor-release (mei 2026). Op deze stack: pin een nieuwe
postgres:16.x-image in de compose zodra beschikbaar en herstart de stack. Houd Postgres
zonder host-poort (alleen intern) โ dat staat hier al goed.