Blog

Vulnerabilidades críticas en PostgreSQL y MariaDB exponen fallos ocultos durante más de 20 años

Las bases de datos de código abierto se enfrentan a un problema persistente, las vulnerabilidades de desbordamiento de búfer. En este caso, destaca el caso de unos investigadores de seguridad que han revelado un conjunto de vulnerabilidades de gravedad alta y crítica que afectan a PostgreSQL y MariaDB. Dos de los errores se remontan a hace más de 20 años.

En el evento de hacking zeroday.cloud de Wiz, los investigadores que utilizaron la herramienta de análisis de seguridad basada en IA “Xint Code” encontraron un fallo de día cero de alta gravedad en la extensión “pgcrypto” de PostgreSQL y un desbordamiento de búfer en el montón en la lógica de validación del esquema JSON de MariaDB. Ambos permiten la ejecución remota de código (RCE) en los respectivos servidores de bases de datos.

El equipo de Xint Code también descubrió un fallo de validación ausente en PostgreSQL, oculto durante 20 años, que permite a los atacantes escribir código arbitrario.

No obstante, se publicaron parches para todos esos fallos, y los mantenedores tanto de PostgreSQL como de MariaDB instan a los usuarios a actualizar a las versiones corregidas de inmediato.

La más grave de las vulnerabilidades de día cero de PostgreSQL es un problema de desbordamiento de búfer, registrado como CVE-2026-2005, en la extensión “pgcrypto”. A un atacante le podría bastar con usar entradas especialmente diseñadas para provocar una discrepancia de tamaño que condujera a escrituras fuera de límites en el montón, según han explicado los investigadores.

Eso puede aprovecharse para lograr la ejecución remota de código en el servidor de la base de datos en entornos en los que pgcrypto procesa entradas controladas por el usuario.

La vulnerabilidad afectaba a todas las versiones compatibles y se ha corregido en actualizaciones que incluyen las versiones v18.2, v17.8, v16.12, v15.16 y v14.21. Recibió una calificación de gravedad alta de CVSS: 8,8 sobre 10. Tal y como han explicado los investigadores, “el código vulnerable ha estado presente desde que pgcrypto se incorporó por primera vez en 2005, hace más de 20 años”.

No fue la única vulnerabilidad detectada en PostgreSQL. Otro grupo de investigadores que compitió como “Team Bugz Bunnies” en el evento de Wiz encontró un error de validación ausente, registrado como CVE-2026-2006, que permite la ejecución de código arbitrario. La vulnerabilidad recibió una calificación CVSS cercana a 9 y se corrigió en las mismas actualizaciones que solucionaron CVE-2026-2005.

Los mantenedores de PostgreSQL han instado a los clientes a corregir con celeridad las vulnerabilidades, ya que se han hecho públicas tras pasar desapercibidas durante años, y los atacantes tienen ahora acceso al código necesario para explotarlas. Las vulnerabilidades se corrigieron en febrero, pero un análisis de Wiz reveló que el 80 % de los entornos en la nube utilizan PostgreSQL y que el 45 % están directamente expuestos a Internet.

Un análisis JSON inadecuado permitía la ejecución remota de código (RCE) en el servidor MariaDB Mientras, en MariaDB se encontró un error de desbordamiento de búfer, registrado como CVE-2026-32710, en la función JSON_SCHEMA_VALID() utilizada por Xint Code. La vulnerabilidad permite a un usuario autenticado provocar un fallo del sistema que, en condiciones controladas, podría escalar a la ejecución remota de código.

En comparación con los fallos de PostgreSQL, la explotación en ese caso es menos sencilla. La ejecución exitosa del código requeriría la manipulación de la estructura de la memoria, algo que sólo se puede lograr en “entornos de laboratorio”.

Según explicó el equipo de Xint Code, “cualquier usuario que pueda abrir una sesión SQL, ya sea mediante credenciales robadas, inyección SQL o movimiento lateral, puede acceder a esta ruta de código con una sola llamada a la función”.

Las versiones afectadas son 11.4.1-11.4.9 y 11.8.1-11.8.5, con correcciones implementadas en las versiones 11.4.10 y 11.8.6, respectivamente. La vulnerabilidad fue calificada con un nivel de gravedad alto (8,5) por GitHub, mientras que NIST la clasificó como crítica con una puntuación CVSS base de 9,9 sobre 10.

Referencias

• Sharma, Shweta. La IA descubre fallos de seguridad de hace 20 años en PostgreSQL y MariaDB. Obtenido de: https://www.computerworld.es/article/4167953/la-ia-descubre-fallos-de-seguridad-de-hace-20-anos-en-postgresql-y-mariadb.html

Sobre el autor

MSc. Ing. Carlos del Porto Blanco

Ingeniero y académico con una destacada trayectoria en el ámbito de la informática y la educación superior. Graduado en 1983 como ingeniero en Sistemas Automatizados de Dirección por la Universidad Tecnológica de La Habana José Antonio Echeverría (Cujae), ha dedicado más de cuatro décadas a la docencia, la investigación y la divulgación científica. A lo largo de su carrera ha ocupado diferentes categorías docentes, alcanzando la condición de Profesor Auxiliar en la Cujae —ratificada en 2020— y desempeñándose también como profesor en la Universidad de Guadalajara y el Instituto Superior de Relaciones Internacionales. Su labor docente abarca una amplia gama de asignaturas relacionadas con la arquitectura de computadoras, sistemas operativos, programación y ciberseguridad, evidenciando una sólida formación técnica y pedagógica. En el ámbito internacional, ha impartido cursos en Argentina y Bolivia, incluyendo formación en arquitectura de microprocesadores, teleinformática e inteligencia artificial en programas de maestría. Su contribución a la formación de profesionales incluye la tutoría de más de 25 tesis de ingeniería y la participación como oponente en programas de posgrado. Su producción intelectual es especialmente notable, con más de 790 artículos publicados en medios académicos y de divulgación, así como una activa participación en eventos científicos y conferencias magistrales. Además, ha extendido su impacto más allá del ámbito académico como analista en programas televisivos y asesor en producciones audiovisuales. Actualmente, se desempeña como Profesor Auxiliar en la Cujae y en el Instituto Superior de Relaciones Internacionales, consolidando una carrera caracterizada por la combinación de rigor académico, vocación docente y compromiso con la divulgación del conocimiento tecnológico.
Ver perfil del autor arrow_forward
arrow_back Volver al blog