[{"data":1,"prerenderedAt":-1},["ShallowReactive",2],{"blog-/blog/noticias/vulnerabilidad-critica-postgresql-2026":3,"prev-/blog/noticias/vulnerabilidad-critica-postgresql-2026":303,"next-/blog/noticias/vulnerabilidad-critica-postgresql-2026":306,"related-/blog/noticias/vulnerabilidad-critica-postgresql-2026":307},{"id":4,"title":5,"author":6,"authorUrl":7,"body":8,"category":270,"cta":271,"date":274,"dateModified":275,"description":276,"draft":277,"extension":278,"faq":279,"featured":277,"image":289,"imageAlt":290,"meta":291,"navigation":292,"path":293,"readingTime":294,"seo":295,"stem":296,"tags":297,"__hash__":302},"blog/blog/noticias/vulnerabilidad-critica-postgresql-2026.md","Vulnerabilidades críticas en PostgreSQL: qué hacer ahora","Syswork México","/nosotros",{"type":9,"value":10,"toc":264},"minimark",[11,21,26,29,36,42,48,56,60,65,109,114,117,163,166,198,203,225,228,231,235,238,242,245,248,251,260],[12,13,14,15,20],"p",{},"El PostgreSQL Global Development Group publicó el 26 de febrero de 2026 una actualización de seguridad urgente que corrige múltiples vulnerabilidades críticas en todas las versiones activas. Si tu empresa usa PostgreSQL en producción — y si leíste nuestra ",[16,17,19],"a",{"href":18},"/blog/instalar-postgresql-en-ubuntu-24","guía de instalación",", probablemente sí — necesitas actualizar lo antes posible.",[22,23,25],"h2",{"id":24},"qué-se-descubrió","Qué se descubrió",[12,27,28],{},"Las actualizaciones PostgreSQL 18.3, 17.9, 16.13, 15.17 y 14.22 corrigen varias vulnerabilidades, siendo las más graves:",[12,30,31,35],{},[32,33,34],"strong",{},"CVE-2025-12818 (CVSS 8.8 — Alta):"," Un problema crítico de asignación de memoria en libpq donde entradas suficientemente grandes pueden causar desbordamiento de enteros, resultando en escritura fuera de los límites del buffer. Un atacante con acceso de usuario básico podría explotar esto para ejecutar código arbitrario en el servidor.",[12,37,38,41],{},[32,39,40],{},"CVE-2025-8715 (Ejecución de código vía pg_dump):"," Una falla en la neutralización de saltos de línea en pg_dump permite que un usuario del servidor de origen inyecte comandos que se ejecutan durante la restauración del backup con psql. Esto afecta directamente a pg_dump, pg_dumpall, pg_restore y pg_upgrade. La vulnerabilidad es particularmente peligrosa en entornos DevOps donde la restauración de backups es automatizada.",[12,43,44,47],{},[32,45,46],{},"CVE-2025-12817 (Escalamiento de privilegios):"," El comando CREATE STATISTICS no verificaba permisos de creación en el esquema destino, permitiendo que un propietario de tabla creara estadísticas en cualquier esquema, generando potenciales conflictos de nombres y denegación de servicio.",[49,50,53],"alert",{"title":51,"type":52},"Acción requerida","error",[12,54,55],{},"Si usas PostgreSQL 14 a 18 en producción, actualiza a las versiones corregidas hoy. La CVE-2025-12818 permite ejecución remota de código con acceso básico de usuario — no esperes a la próxima ventana de mantenimiento.",[22,57,59],{"id":58},"qué-hacer-ahora","Qué hacer ahora",[12,61,62],{},[32,63,64],{},"Paso 1: Verificar tu versión actual.",[66,67,72],"pre",{"className":68,"code":69,"language":70,"meta":71,"style":71},"language-bash shiki shiki-themes material-theme-lighter github-light github-dark","psql --version\n# o desde dentro de psql:\nSELECT version();\n","bash","",[73,74,75,88,95],"code",{"__ignoreMap":71},[76,77,80,84],"span",{"class":78,"line":79},"line",1,[76,81,83],{"class":82},"sbgvK","psql",[76,85,87],{"class":86},"stzsN"," --version\n",[76,89,91],{"class":78,"line":90},2,[76,92,94],{"class":93},"sutJx","# o desde dentro de psql:\n",[76,96,98,101,105],{"class":78,"line":97},3,[76,99,100],{"class":82},"SELECT",[76,102,104],{"class":103},"s_sjI"," version",[76,106,108],{"class":107},"sP7_E","();\n",[12,110,111],{},[32,112,113],{},"Paso 2: Actualizar a la versión corregida.",[12,115,116],{},"En Ubuntu/Debian:",[66,118,120],{"className":68,"code":119,"language":70,"meta":71,"style":71},"sudo apt update && sudo apt upgrade postgresql -y\nsudo systemctl restart postgresql\n",[73,121,122,150],{"__ignoreMap":71},[76,123,124,127,130,133,136,139,141,144,147],{"class":78,"line":79},[76,125,126],{"class":82},"sudo",[76,128,129],{"class":103}," apt",[76,131,132],{"class":103}," update",[76,134,135],{"class":107}," &&",[76,137,138],{"class":82}," sudo",[76,140,129],{"class":103},[76,142,143],{"class":103}," upgrade",[76,145,146],{"class":103}," postgresql",[76,148,149],{"class":86}," -y\n",[76,151,152,154,157,160],{"class":78,"line":90},[76,153,126],{"class":82},[76,155,156],{"class":103}," systemctl",[76,158,159],{"class":103}," restart",[76,161,162],{"class":103}," postgresql\n",[12,164,165],{},"En RHEL/Rocky/Alma:",[66,167,169],{"className":68,"code":168,"language":70,"meta":71,"style":71},"sudo dnf update postgresql* -y\nsudo systemctl restart postgresql\n",[73,170,171,188],{"__ignoreMap":71},[76,172,173,175,178,180,182,186],{"class":78,"line":79},[76,174,126],{"class":82},[76,176,177],{"class":103}," dnf",[76,179,132],{"class":103},[76,181,146],{"class":103},[76,183,185],{"class":184},"s_hVV","*",[76,187,149],{"class":86},[76,189,190,192,194,196],{"class":78,"line":90},[76,191,126],{"class":82},[76,193,156],{"class":103},[76,195,159],{"class":103},[76,197,162],{"class":103},[12,199,200],{},[32,201,202],{},"Paso 3: Verificar que la actualización se aplicó.",[66,204,206],{"className":68,"code":205,"language":70,"meta":71,"style":71},"psql -c \"SELECT version();\"\n",[73,207,208],{"__ignoreMap":71},[76,209,210,212,215,219,222],{"class":78,"line":79},[76,211,83],{"class":82},[76,213,214],{"class":86}," -c",[76,216,218],{"class":217},"sjJ54"," \"",[76,220,221],{"class":103},"SELECT version();",[76,223,224],{"class":217},"\"\n",[12,226,227],{},"Confirma que tu versión muestra 18.3, 17.9, 16.13, 15.17 o 14.22 según tu versión mayor.",[229,230],"ad-banner",{},[22,232,234],{"id":233},"si-usas-postgresql-13-o-anterior","Si usas PostgreSQL 13 o anterior",[12,236,237],{},"PostgreSQL 13 llegó a fin de vida (EOL) en noviembre de 2025 y ya no recibe parches de seguridad. Si aún lo usas, estás expuesto a esta y futuras vulnerabilidades sin posibilidad de corrección. Planifica la migración a PostgreSQL 16 o 17 lo antes posible.",[22,239,241],{"id":240},"contexto-por-qué-importa","Contexto: por qué importa",[12,243,244],{},"Estas vulnerabilidades no son teóricas. La CVE-2025-8715 reintroduce un vector de ataque que ya había sido corregido en 2012 (CVE-2012-0868), lo que demuestra que incluso en software maduro, las regresiones de seguridad ocurren. El descubrimiento fue reportado responsablemente por investigadores de seguridad incluyendo a Stephen Fewer de Rapid7 y Noah Misch del equipo de PostgreSQL.",[12,246,247],{},"PostgreSQL alimenta ERPs como Odoo, plataformas como Supabase, y miles de aplicaciones empresariales. Una vulnerabilidad de ejecución de código en la base de datos puede comprometer toda la operación de tu empresa.",[12,249,250],{},"La lección: las actualizaciones de seguridad en bases de datos no son opcionales ni pueden esperar. Implementa un proceso de actualización mensual y suscríbete a la lista de seguridad de PostgreSQL en postgresql.org para recibir alertas directamente.",[252,253],"call-to-action",{"description":254,"eyebrow":255,"icon":256,"label":257,"title":258,"to":259},"Actualizamos tu base de datos de forma segura, verificamos la integridad y configuramos alertas de seguridad para futuras vulnerabilidades.","Soporte urgente","i-lucide-shield-alert","Solicitar soporte","¿Necesitas ayuda para parchear tu PostgreSQL?","/contacto",[261,262,263],"style",{},"html pre.shiki code .sbgvK, html code.shiki .sbgvK{--shiki-light:#E2931D;--shiki-default:#6F42C1;--shiki-dark:#B392F0}html pre.shiki code .stzsN, html code.shiki .stzsN{--shiki-light:#91B859;--shiki-default:#005CC5;--shiki-dark:#79B8FF}html pre.shiki code .sutJx, html code.shiki .sutJx{--shiki-light:#90A4AE;--shiki-light-font-style:italic;--shiki-default:#6A737D;--shiki-default-font-style:inherit;--shiki-dark:#6A737D;--shiki-dark-font-style:inherit}html pre.shiki code .s_sjI, html code.shiki .s_sjI{--shiki-light:#91B859;--shiki-default:#032F62;--shiki-dark:#9ECBFF}html pre.shiki code .sP7_E, html code.shiki .sP7_E{--shiki-light:#39ADB5;--shiki-default:#24292E;--shiki-dark:#E1E4E8}html .light .shiki span {color: var(--shiki-light);background: var(--shiki-light-bg);font-style: var(--shiki-light-font-style);font-weight: var(--shiki-light-font-weight);text-decoration: var(--shiki-light-text-decoration);}html.light .shiki span {color: var(--shiki-light);background: var(--shiki-light-bg);font-style: var(--shiki-light-font-style);font-weight: var(--shiki-light-font-weight);text-decoration: var(--shiki-light-text-decoration);}html .default .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .shiki span {color: var(--shiki-default);background: var(--shiki-default-bg);font-style: var(--shiki-default-font-style);font-weight: var(--shiki-default-font-weight);text-decoration: var(--shiki-default-text-decoration);}html .dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html.dark .shiki span {color: var(--shiki-dark);background: var(--shiki-dark-bg);font-style: var(--shiki-dark-font-style);font-weight: var(--shiki-dark-font-weight);text-decoration: var(--shiki-dark-text-decoration);}html pre.shiki code .s_hVV, html code.shiki .s_hVV{--shiki-light:#90A4AE;--shiki-default:#005CC5;--shiki-dark:#79B8FF}html pre.shiki code .sjJ54, html code.shiki .sjJ54{--shiki-light:#39ADB5;--shiki-default:#032F62;--shiki-dark:#9ECBFF}",{"title":71,"searchDepth":90,"depth":97,"links":265},[266,267,268,269],{"id":24,"depth":90,"text":25},{"id":58,"depth":90,"text":59},{"id":233,"depth":90,"text":234},{"id":240,"depth":90,"text":241},"noticias",{"title":272,"description":273,"label":257,"to":259,"icon":256},"¿Necesitas ayuda para actualizar PostgreSQL?","Actualizamos y aseguramos tu infraestructura de bases de datos sin interrupciones. Agenda una sesión urgente.","2026-03-01","2026-03-07","PostgreSQL publicó parches de seguridad urgentes que corrigen vulnerabilidades de inyección SQL y ejecución de código. Si usas PostgreSQL, necesitas actualizar hoy.",false,"md",[280,283,286],{"question":281,"answer":282},"¿Qué versiones de PostgreSQL están afectadas?","Las vulnerabilidades afectan a todas las versiones mayores activas: PostgreSQL 14 hasta 18. Las versiones corregidas son 18.3, 17.9, 16.13, 15.17 y 14.22, publicadas el 26 de febrero de 2026. PostgreSQL 13 ya no recibe parches de seguridad desde noviembre de 2025.",{"question":284,"answer":285},"¿Qué tan grave es esta vulnerabilidad?","La CVE-2025-12818 tiene un score CVSS de 8.8 (alto), lo que significa que un atacante con acceso básico de usuario podría ejecutar código arbitrario. La CVE-2025-8715 permite inyección de código durante la restauración de backups. Ambas requieren acción inmediata.",{"question":287,"answer":288},"¿Cómo actualizo PostgreSQL sin downtime?","Las actualizaciones menores (ej: 16.12 a 16.13) no requieren dump/restore. Solo necesitas instalar los paquetes actualizados y reiniciar el servicio. El reinicio toma segundos. En entornos con réplicas, puedes actualizar nodo por nodo para minimizar el impacto.","/images/blog/vulnerabilidad-postgresql-2026.jpg","Alerta de seguridad sobre un logo de PostgreSQL con un escudo rojo",{},true,"/blog/noticias/vulnerabilidad-critica-postgresql-2026",4,{"title":5,"description":276},"blog/noticias/vulnerabilidad-critica-postgresql-2026",[298,299,300,270,301],"postgresql","ciberseguridad","vulnerabilidad","bases-de-datos","eS9YPKl3-qXlg1ZCFUbExAfv8ubVlh-KTaDTdddlssk",{"path":304,"title":305},"/blog/noticias/nuevas-regulaciones-proteccion-datos-mexico","Nuevas regulaciones de protección de datos en México: lo que cambió en 2025",null,[308,314,321],{"path":304,"title":305,"description":309,"date":310,"category":270,"image":311,"imageAlt":312,"readingTime":313},"La nueva LFPDPPP entró en vigor en marzo de 2025 con cambios significativos: desaparición del INAI, definiciones ampliadas, nuevas obligaciones de confidencialidad y consentimiento más estricto. Lo que tu empresa necesita saber.","2026-02-01","/images/blog/proteccion-datos-mexico-2026.jpg","Escudo de datos personales sobre un mapa de México con iconos de regulación",5,{"path":315,"title":316,"description":317,"date":318,"category":270,"image":319,"imageAlt":320,"readingTime":294},"/blog/noticias/proxmox-9-novedades-virtualizacion","Proxmox VE 9: novedades para virtualización empresarial","Proxmox Virtual Environment 9.0 llegó con snapshots universales, SDN Fabrics, reglas de afinidad HA y una interfaz móvil renovada. Estas son las novedades que importan para tu infraestructura.","2026-01-20","/images/blog/proxmox-9-novedades.jpg","Interfaz web de Proxmox VE 9 mostrando un clúster con múltiples nodos",{"path":322,"title":323,"description":324,"date":325,"category":270,"image":326,"imageAlt":327,"readingTime":313},"/blog/noticias/cambios-facturacion-electronica-sat-2026","Cambios en facturación electrónica del SAT para 2026","El SAT endureció las reglas de facturación electrónica en 2026: materialidad obligatoria, catálogos actualizados, nómina 1.2 con nuevas validaciones y mayor fiscalización. Lo que tu empresa necesita saber.","2026-01-15","/images/blog/cambios-facturacion-sat-2026.jpg","Logo del SAT con documentos de facturación electrónica CFDI y un calendario 2026"]