CVE-2026-44477: Уразливість CloudNativePG у PostgreSQL метриках
Критична уразливість CVE-2026-44477 у CloudNativePG дозволяє виконувати команди ОС з правами суперкористувача PostgreSQL. Оновіть до версій 1.29.1 або 1.28.3.
- CVSS
- 9.4 CRITICAL
- EPSS
- 37.97%
- Активно використовується
- немає в KEV
- Продукт
- cloudnativepg
Що відомо
У CloudNativePG до версій 1.29.1 та 1.28.3 експортер метрик відкриває з'єднання з PostgreSQL як суперкористувач postgres, але знижує роль до pg_monitor. Однак сесія зберігає права суперкористувача, що дозволяє через SQL-виклики відновити повні привілеї та виконати системні команди від імені postgres. Ця уразливість має критичний рівень небезпеки (CVSS 9.4).
Бізнес-вплив
Для операторів Kubernetes та власників інфраструктури, що використовують CloudNativePG для управління PostgreSQL, ця уразливість може призвести до виконання довільних команд на рівні ОС з правами суперкористувача бази даних. Це створює серйозні ризики компрометації системи та витоку даних. Вразливість не блокується навіть у режимі READ ONLY транзакцій, що ускладнює захист.
Рекомендовані дії адміністратора
Рекомендується негайно оновити CloudNativePG до версій 1.29.1 або 1.28.3, де ця уразливість виправлена. Якщо оновлення наразі неможливе, слід обмежити доступ до метрик, переглянути журнали на ознаки експлуатації, зменшити права доступу до PostgreSQL та пріоритезувати патчі для Kubernetes середовища.