El PostgreSQL Global Development Group publicó el 26 de febrero de 2026 una actualización de seguridad urgente que corrige múltiples vulnerabilidades críticas en todas las versiones activas. Si tu empresa usa PostgreSQL en producción — y si leíste nuestra guía de instalación, probablemente sí — necesitas actualizar lo antes posible.
Qué se descubrió
Las actualizaciones PostgreSQL 18.3, 17.9, 16.13, 15.17 y 14.22 corrigen varias vulnerabilidades, siendo las más graves:
CVE-2025-12818 (CVSS 8.8 — Alta): Un problema crítico de asignación de memoria en libpq donde entradas suficientemente grandes pueden causar desbordamiento de enteros, resultando en escritura fuera de los límites del buffer. Un atacante con acceso de usuario básico podría explotar esto para ejecutar código arbitrario en el servidor.
CVE-2025-8715 (Ejecución de código vía pg_dump): Una falla en la neutralización de saltos de línea en pg_dump permite que un usuario del servidor de origen inyecte comandos que se ejecutan durante la restauración del backup con psql. Esto afecta directamente a pg_dump, pg_dumpall, pg_restore y pg_upgrade. La vulnerabilidad es particularmente peligrosa en entornos DevOps donde la restauración de backups es automatizada.
CVE-2025-12817 (Escalamiento de privilegios): El comando CREATE STATISTICS no verificaba permisos de creación en el esquema destino, permitiendo que un propietario de tabla creara estadísticas en cualquier esquema, generando potenciales conflictos de nombres y denegación de servicio.
Acción requerida
Si usas PostgreSQL 14 a 18 en producción, actualiza a las versiones corregidas hoy. La CVE-2025-12818 permite ejecución remota de código con acceso básico de usuario — no esperes a la próxima ventana de mantenimiento.
Qué hacer ahora
Paso 1: Verificar tu versión actual.
psql --version
# o desde dentro de psql:
SELECT version();
Paso 2: Actualizar a la versión corregida.
En Ubuntu/Debian:
sudo apt update && sudo apt upgrade postgresql -y
sudo systemctl restart postgresql
En RHEL/Rocky/Alma:
sudo dnf update postgresql* -y
sudo systemctl restart postgresql
Paso 3: Verificar que la actualización se aplicó.
psql -c "SELECT version();"
Confirma que tu versión muestra 18.3, 17.9, 16.13, 15.17 o 14.22 según tu versión mayor.
Si usas PostgreSQL 13 o anterior
PostgreSQL 13 llegó a fin de vida (EOL) en noviembre de 2025 y ya no recibe parches de seguridad. Si aún lo usas, estás expuesto a esta y futuras vulnerabilidades sin posibilidad de corrección. Planifica la migración a PostgreSQL 16 o 17 lo antes posible.
Contexto: por qué importa
Estas vulnerabilidades no son teóricas. La CVE-2025-8715 reintroduce un vector de ataque que ya había sido corregido en 2012 (CVE-2012-0868), lo que demuestra que incluso en software maduro, las regresiones de seguridad ocurren. El descubrimiento fue reportado responsablemente por investigadores de seguridad incluyendo a Stephen Fewer de Rapid7 y Noah Misch del equipo de PostgreSQL.
PostgreSQL alimenta ERPs como Odoo, plataformas como Supabase, y miles de aplicaciones empresariales. Una vulnerabilidad de ejecución de código en la base de datos puede comprometer toda la operación de tu empresa.
La lección: las actualizaciones de seguridad en bases de datos no son opcionales ni pueden esperar. Implementa un proceso de actualización mensual y suscríbete a la lista de seguridad de PostgreSQL en postgresql.org para recibir alertas directamente.
Soporte urgente
¿Necesitas ayuda para parchear tu PostgreSQL?
Actualizamos tu base de datos de forma segura, verificamos la integridad y configuramos alertas de seguridad para futuras vulnerabilidades.
