PostgreSQL 18.4、17.10、16.14、15.18 與 14.23 發布

發布者：PostgreSQL Global Development Group 分類：PostgreSQL 項目安全

PostgreSQL 全球開發組發布了所有受支持 PostgreSQL 版本的更新，包括 18.4、17.10、16.14、15.18 和 14.23。本次發布修復了 11 個安全漏洞，以及過去幾個月中報告的 60 多個 bug。

完整變更列表請參閱發行說明。

PostgreSQL 14 生命周期結束提醒

PostgreSQL 14 將于 2026 年 11 月 12 日停止接收修復。如果你正在生產環境中運行 PostgreSQL 14，建議盡快制定升級到更新的受支持版本的計劃。更多信息請參閱版本政策。

安全問題 CVE-2026-6472：PostgreSQLCREATE TYPE未檢查multirangeschema 的CREATE權限

CVSS v3.1 基礎分：5.4

受影響的受支持版本：14 到 18。

PostgreSQLCREATE TYPE存在授權檢查缺失問題，使對象創建者可以劫持依賴search_path查找用戶自定義類型的其他查詢，包括擴展定義的類型。換句話說，受害者可能會執行攻擊者指定的任意 SQL 函數。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Jelte Fennema-Nio 報告此問題。

CVE-2026-6473：PostgreSQL 服務器因整數回繞導致內存分配偏小

CVSS v3.1 基礎分：8.8

受影響的受支持版本：14 到 18。

PostgreSQL 服務器的多項功能中存在整數回繞問題，允許應用輸入提供者誘使服務器分配過小的內存空間，并發生越界寫入。這會導致段錯誤。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Anemone、A1ex、Xint Code、Jihe Wang、Jingzhou Fu、Pavel Kohout、Petr Simecek、www.aisle.com、Calif.io[1] 的 Bruce Dang，以及 Sven Klemm 報告此問題。

CVE-2026-6474：PostgreSQLtimeofday()可能泄露部分服務器內存

CVSS v3.1 基礎分：4.3

受影響的受支持版本：14 到 18。

PostgreSQLtimeofday()函數中存在外部可控的格式字符串問題，攻擊者可通過精心構造的時區設置讀取部分服務器內存。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Xint Code 報告此問題。

CVE-2026-6475：PostgreSQLpg_basebackuppg_rewind可覆蓋由源端超級用戶指定的無關文件

CVSS v3.1 基礎分：8.8

受影響的受支持版本：14 到 18。

PostgreSQLpg_basebackup的 plain 格式以及pg_rewind中存在跟隨符號鏈接的問題，使源端超級用戶可以覆蓋本地文件，例如/var/lib/postgres/.bashrc，從而劫持操作系統賬戶。由于shared_preload_libraries等機制，在這些命令執行后啟動服務器，仍然意味著隱式信任源端超級用戶。

因此，只有當用戶在這些命令執行后、服務器啟動前采取了相關操作時，例如將文件移動到另一臺虛擬機，或對虛擬機進行快照，該攻擊才具有實際影響。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Valery Gubanov、騰訊玄武實驗室 XlabAI Team、Atuin Automated Vulnerability Discovery Engine、Zhanpeng Liu、Guannan Wang 和 Guancheng Li 報告此問題。

CVE-2026-6476：PostgreSQLpg_createsubscriber可通過訂閱名觸發 SQL 注入

CVSS v3.1 基礎分：7.2

受影響的受支持版本：17 到 18。

PostgreSQLpg_createsubscriber中存在 SQL 注入漏洞。擁有pg_create_subscription權限的攻擊者可以借此以超級用戶身份執行任意 SQL。攻擊會在下一次運行pg_createsubscriber時生效。在 17 和 18 兩個大版本中，PostgreSQL 18.4 和 17.10 之前的小版本受影響。PostgreSQL 17 之前的版本不受影響。

PostgreSQL 項目感謝 Yu Kunpeng 報告此問題。

CVE-2026-6477：PostgreSQLlibpqlo_*函數允許服務器超級用戶覆蓋客戶端棧內存

CVSS v3.1 基礎分：8.8

受影響的受支持版本：14 到 18。

PostgreSQLlibpq的lo_export()、lo_read()、lo_lseek64()和lo_tell64()函數使用了本質上危險的PQfn(..., result_is_int=0, ...)調用，使服務器超級用戶可以用任意長度的響應覆蓋客戶端棧緩沖區。與gets()類似，PQfn(..., result_is_int=0, ...)會把由服務器決定的任意長度數據寫入一個大小未明確指定的緩沖區。

由于psql中的\lo_export命令以及pg_dump都會調用lo_read()，服務器超級用戶可以覆蓋pg_dump或psql的棧內存。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Yu Kunpeng 和 Martin Heistermann 報告此問題。

CVE-2026-6478：PostgreSQL 可通過隱蔽計時信道泄露 MD5 哈希密碼

CVSS v3.1 基礎分：6.5

受影響的受支持版本：14 到 18。

PostgreSQL 認證過程中，在比較 MD5 哈希密碼時存在隱蔽計時信道，攻擊者可利用該問題恢復足以完成認證的用戶憑據。該問題不影響scram-sha-256密碼；scram-sha-256是所有受支持版本中的默認方式。不過，從 PostgreSQL 13 或更早版本升級而來的現有數據庫中，仍可能保留 MD5 哈希密碼。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Joe Conway 報告此問題。

CVE-2026-6479：PostgreSQL SSL/GSS 初始化因不受控遞歸導致拒絕服務

CVSS v3.1 基礎分：7.5

受影響的受支持版本：14 到 18。

PostgreSQL 的 SSL 和 GSS 協商過程中存在不受控遞歸問題。能夠連接 PostgreSQLAF_UNIXsocket 的攻擊者，可借此造成持續性的拒絕服務。如果 SSL 和 GSS 都被禁用，能夠訪問 PostgreSQL TCP socket 的攻擊者也可以造成同樣結果。PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Calif.io 與 Claude 和 Anthropic Research 協作報告此問題。

CVE-2026-6575：PostgreSQLpg_restore_attribute_stats接受會導致查詢規劃讀取越過統計數組末尾的值

CVSS v3.1 基礎分：4.3

受影響的受支持版本：18。

PostgreSQL 函數pg_restore_attribute_stats()存在緩沖區越界讀取問題。該函數接受長度不匹配的數組值，進而導致查詢規劃階段讀取某個數組末尾之后的內存。表維護者可以據此推斷數組末尾之后的內存值。在 PostgreSQL 18 大版本中，PostgreSQL 18.4 之前的小版本受影響。PostgreSQL 18 之前的版本不受影響。

PostgreSQL 項目感謝 Jeroen Gui 報告此問題。

CVE-2026-6637：PostgreSQLrefint允許棧緩沖區溢出和 SQL 注入

CVSS v3.1 基礎分：8.8

受影響的受支持版本：14 到 18。

PostgreSQLrefint模塊中存在棧緩沖區溢出問題，允許無特權數據庫用戶以運行數據庫的操作系統用戶身份執行任意代碼。另一個獨立攻擊場景是：如果應用將用戶可控列聲明為refint級聯主鍵，并允許用戶控制對該列的更新，則主鍵更新值的提供者可通過 SQL 注入，以執行該主鍵更新的數據庫用戶身份執行任意 SQL。

PostgreSQL 18.4、17.10、16.14、15.18 和 14.23 之前的版本均受影響。

PostgreSQL 項目感謝 Nikolay Samokhvalov 報告此問題。

CVE-2026-6638：PostgreSQLREFRESH PUBLICATION可通過表名觸發 SQL 注入

CVSS v3.1 基礎分：3.7

受影響的受支持版本：16 到 18。

PostgreSQL 邏輯復制的ALTER SUBSCRIPTION ... REFRESH PUBLICATION存在 SQL 注入漏洞。訂閱端表的創建者可以利用該漏洞，使用訂閱在發布端的憑據執行任意 SQL。攻擊會在下一次執行REFRESH PUBLICATION時生效。在 16、17 和 18 三個大版本中，PostgreSQL 18.4、17.10 和 16.14 之前的小版本受影響。PostgreSQL 16 之前的版本不受影響。

PostgreSQL 項目感謝 Pavel Kohout 和 Aisle Research 報告此問題。

Bug 修復與改進

本次更新修復了過去幾個月中報告的 60 多個 bug。以下列出的問題影響 PostgreSQL 18，其中一部分也可能影響其他受支持的 PostgreSQL 版本。

修復在唯一索引上使用非確定性排序規則時，查詢可能返回錯誤結果的問題。

修復外鍵觸發器可延遲性丟失的問題。此前，如果某個外鍵定義為DEFERRABLE INITIALLY DEFERRED，在先被設置為NOT ENFORCED，再切回ENFORCED后，會表現得像NOT DEFERRABLE。如果你有受此問題影響的外鍵，安裝本次更新后，可通過先將其設為NOT ENFORCED，再切回ENFORCED來修復。

提升規劃器在更多場景中應用分區裁剪的能力。

修復自連接消除邏輯，使其能夠處理僅由布爾列構成的連接條件，例如ON t1.boolcol。

圍繞虛擬生成列進行多項修復，包括確保當EXCLUDED引用了虛擬生成列時，INSERT ... ON CONFLICT能夠正常工作。

當MERGE在repeatable read或serializable隔離級別下遇到被并發更新的元組時，報告序列化失敗。

修復CREATE TABLE ... LIKE ... INCLUDING STATISTICS在源表包含一個或多個已刪除列時的問題。

修復WITHOUT OVERLAPS，使其允許使用 domain。

禁止通過multirange讓復合類型成為自身的成員。

修復array_agg(anyarray)并行執行時有時會返回錯誤結果的問題。

防止恢復增量備份時產生膨脹。

防止卡住的邏輯復制槽同步工作進程阻塞備用服務器提升為主庫。

讓pg_aios系統視圖的pid列在條目沒有所屬進程時顯示NULL，而不是0。

修復復制仍在活躍時，pg_stat_replication仍顯示NULL延遲的情況。

正確顯示GROUP BY中使用的 JOIN 別名變量。

如果啟動進程失敗，postmaster 退出前會正確關閉其他子進程。

修復一個競態條件：備用服務器在跟隨較舊小版本主庫的 WAL 時，可能因此陷入崩潰并重啟的循環。

防止邏輯復制正在發布數據時，walsender 進程關閉過程中出現無限等待。

確保恢復過程中持久化空閑空間映射的變更。這可能會影響備用服務器提升后的性能。

修復pg_basebackup和pg_verifybackup使用的備份解壓和 tar 解析代碼中的若干 bug。

確保pg_dumpall不會跳過 grantor OID 已懸空的角色授權，恢復 PostgreSQL 16 之前的行為。如果源服務器為 PostgreSQL 16 或更高版本，則會對缺失的 grantor 發出警告。

修復pg_upgrade，使其在連接較舊的源服務器時使用正確的協議版本。

修復使用RANGE_TABLE選項時pg_overexplain的輸出。

修復postgres_fdw因過早清理失敗連接而導致崩潰的問題。

本次發布還將時區數據文件更新到 tzdata 2026b。該版本中，加拿大不列顛哥倫比亞省，即America/Vancouver，將從 2026 年 11 月起全年采用 UTC-07，實際效果相當于永久夏令時。本次發布假定該地區從那時起的時區縮寫為 MST，不過這一點仍可能變化。此外，本次更新還包含摩爾多瓦的歷史修正：摩爾多瓦自 2022 年以來采用歐盟夏令時切換時間。

更新方式

所有 PostgreSQL 更新版本都是累積的。與其他小版本發布一樣，用戶應用本次更新時不需要轉儲并重新加載數據庫，也不需要使用pg_upgrade；只需停止 PostgreSQL 并更新其二進制文件即可。

如果用戶跳過了一個或多個更新版本，可能需要執行額外的更新后步驟；詳情請參閱早期版本的發行說明。

更多細節請參閱發行說明。

如果你對這篇發布公告有修正或建議，請發送到公開郵件列表pgsql-www@lists.postgresql.org。

老馮評論

11 個 CVE，60+ 個 Bug，數字看著挺嚇人。但這次真正的故事不在 patch 里，在署名欄里。

把這次的報告人掃一遍：Calif.io、Xint Code、Aisle Research、Atuin Automated Vulnerability Discovery Engine、玄武 XlabAI —— 壓軸的最騷氣："Calif.io in collaboration withClaude and Anthropic Research"。

Anthropic Claude 自己上桌挖洞了。模型公司的名字第一次寫進 PG 的 CVE 公告。而 CVE-2026-6473 一個整數回繞掛了十個報告人。十撥人同時撞上同一個洞，這是大撞車 —— 大家的挖洞工具鏈同質化。

所以這一波是 AI 寫出來的 Bug 嗎？

PG 核心代碼到今天仍然是這個星球上 review 最嚴苛的 C 項目之一，AI 想寫進去比駱駝穿針眼還難。真正發生的事，是漏洞挖掘的邊際成本塌方。

整數回繞、格式化串、棧溢出、時序側信道——這些教科書級的 C 病灶以前沒人挖，不是技術不行，是 token 太貴。一個安全工程師啃半年的活，現在跑一晚上 fuzzer + LLM 符號推理就批量出貨。過去三十年所有人類 reviewer 大腦自動跳過的邊界條件，被 AI 回爐重掃了一遍。

接下來會發生什么？

Linux、SQLite、Mongo、Redis、MySQL、MariaDB ——2026 整年所有主流開源項目 CVE 公告都會變厚。就好比另一篇 MinIO 里，四月份集中曝光出一批 CVE 漏洞，甚至還有 10 分的。這不是開源項目代碼質量因為 Vibe Coding 突然變爛，是「成熟開源系統被 AI 系統性拷打」的開篇。

數據庫老司機

點一個關注 ??，精彩不迷路

對 PostgreSQL， Pigsty，下云，AI 感興趣的朋友

歡迎加入 PGSQL x Pigsty 交流群 QQ 619377403