El fallo, descubierto a inicios de 2025, afecta funciones de escape de cadenas y el terminal interactivo psql. Por una gestión incorrecta de caracteres UTF-8 inválidos, un atacante puede colar comandos engañosos y ejecutar código arbitrario si el sistema usa ciertas codificaciones multibyte como BIG5 o EUC_TW.
Este error desafía la idea de que los métodos de escape típicos bastan para frenar un ataque, porque la manipulación de secuencias inválidas permite eludir protecciones y acceder al sistema operativo o lanzar SQL malicioso desde psql mediante meta-comandos.
La comunidad de seguridad reaccionó con rapidez: la brecha fue reportada y corregida de forma coordinada con el equipo principal del proyecto PostgreSQL entre enero y febrero. Ya existen herramientas y módulos públicos capaces de detectar o incluso explotar la vulnerabilidad, por lo que la urgencia en actualizaciones se vuelve clave.
Las versiones corregidas, como 17.3, 16.7 y otras, ya están disponibles. Se recomienda actualizar de inmediato y revisar las configuraciones de codificación para evitar los modos de trabajo más expuestos a esta técnica.
Esta vulnerabilidad obliga a repensar prácticas de seguridad en SQL y refuerza la importancia de mantener software actualizado.
El fallo, descubierto a inicios de 2025, afecta funciones de escape de cadenas y el terminal interactivo psql. Por una gestión incorrecta de caracteres UTF-8 inválidos, un atacante puede colar comandos engañosos y ejecutar código arbitrario si el sistema usa ciertas codificaciones multibyte como BIG5 o EUC_TW.
Este error desafía la idea de que los métodos de escape típicos bastan para frenar un ataque, porque la manipulación de secuencias inválidas permite eludir protecciones y acceder al sistema operativo o lanzar SQL malicioso desde psql mediante meta-comandos.
La comunidad de seguridad reaccionó con rapidez: la brecha fue reportada y corregida de forma coordinada con el equipo principal del proyecto PostgreSQL entre enero y febrero. Ya existen herramientas y módulos públicos capaces de detectar o incluso explotar la vulnerabilidad, por lo que la urgencia en actualizaciones se vuelve clave.
Las versiones corregidas, como 17.3, 16.7 y otras, ya están disponibles. Se recomienda actualizar de inmediato y revisar las configuraciones de codificación para evitar los modos de trabajo más expuestos a esta técnica.
Esta vulnerabilidad obliga a repensar prácticas de seguridad en SQL y refuerza la importancia de mantener software actualizado.
