PostgreSQL、5つの重大な脆弱性を修正(CVE-2026-2004,CVE-2026-2005,CVE-2026-2006,CVE-2026-2007,CVE-2026-2003)

セキュリティニュース

投稿日時: 更新日時:

PostgreSQL、5つの重大な脆弱性を修正(CVE-2026-2004,CVE-2026-2005,CVE-2026-2006,CVE-2026-2007,CVE-2026-2003)

PostgreSQLグローバル開発グループは2026年2月12日、サポートされている全てのバージョン(18.2、17.8、16.12、15.16、14.21)に向けたアップデートをリリースしました 。今回のリリースでは、5件のセキュリティ脆弱性と、過去数ヶ月に報告された65件以上のバグが修正されています

対象の脆弱性

CVE-2026-2004

intarray拡張機能における深刻な脆弱性です(CVSSスコア 8.8)。この拡張機能の選択性推定関数において入力タイプの検証が欠如しているため、オブジェクト作成者がデータベースを実行しているOSユーザーの権限で、任意のコードを実行できる恐れがあります。PostgreSQL 14から18までのバージョンが影響を受けます。

CVE-2026-2005

暗号化機能を提供するpgcrypto拡張に関連するもので、ヒープバッファオーバーフローの脆弱性が存在します(CVSSスコア 8.8)。これを悪用されると、暗号文プロバイダーがOSユーザー権限で任意のコードを実行可能となります。

この脆弱性もPostgreSQL 14から18までが対象です。

CVE-2026-2006

PostgreSQL本体のテキスト操作処理における不備に起因します(CVSSスコア 8.8)。マルチバイト文字長の検証が欠如しているため、悪意のあるクエリによってバッファオーバーランを引き起こし、任意のコード実行につながる可能性があります。

こちらもバージョン14から18まで広範囲に影響します。

CVE-2026-2007

pg_trgm拡張におけるヒープバッファオーバーフローの脆弱性です(CVSSスコア 8.2)。細工された入力文字列によって権限昇格などの影響が出る可能性がありますが、攻撃者が書き込めるバイトパターンは限定的です。

この脆弱性はPostgreSQL 18系(18.1および18.0)のみに影響します。

CVE-2026-2003

oidvectorタイプの検証不備による情報漏洩の脆弱性です(CVSSスコア 4.3)。サーバーメモリの数バイトが開示されてしまう可能性があります。

攻撃者が意図的に機密情報を配置して読み取る攻撃の可能性は低いとされていますが、バージョン14から18までが影響を受けます。

主なバグ修正と改善

65件以上のバグ修正が含まれており、以下のような修正が行われています

  • ltree拡張の修正: 大文字小文字を区別しないテキストマッチングの不整合が修正されました

  • 制約の追加: すでにNOT NULLであるカラムに対し、ALTER TABLE ... ADD CONSTRAINTNOT NULL制約を追加する場合、制約名が既存のものと一致する必要があるようになりました

  • MERGEコマンド: WITH句からMERGEを実行した際、トリガーの動作が修正され、影響を受ける行が含まれるようになりました

  • 論理レプリケーション: 並列ワーカーの適用失敗後にレプリケーションスロットが進まないように修正され、サブスクライバー側でのトランザクション損失を防ぐようになりました

  • その他: クエリプランナーの修正、1GBを超えるテーブルの増分バックアップ処理の修正、JITコンパイル関数のインライン化(LLVM 17以降)の修正などが含まれています