پژوهشگران امنیت سایبری در رویداد ZeroDay.Cloud موفق شدند دو ضعف بحرانی را در میان آسیبپذیریهای PostgreSQL شناسایی کرده و بهصورت عملی مورد سوءاستفاده قرار دهند؛ ضعفهایی که بیش از دو دهه در این پایگاهداده پرکاربرد پنهان مانده بودند. شناسایی این آسیبپذیریهای PostgreSQL نشان میدهد حتی پروژههای پایدار متنباز میتوانند شامل باگهایی باشند که در صورت سوءاستفاده، مهاجم را قادر به اجرای کد از راه دور و افزایش سطح دسترسی میکنند.
رویداد ZeroDay.Cloud و نقش آن در افشای آسیبپذیریهای PostgreSQL
رویداد ZeroDay.Cloud یک رقابت تخصصی هک امنیتی در حوزه زیرساختهای ابری و هوش مصنوعی است که توسط شرکت Wiz، زیرمجموعه Google Cloud برگزار میشود. تمرکز اصلی این رویداد بر شناسایی آسیبپذیریهای روز صفر (zero-day) در نرمافزارهای متنباز پرکاربرد است.
این رویداد برای نخستینبار در دسامبر 2025 همزمان با کنفرانس Black Hat Europe در لندن برگزار شد و نتایج فنی آن در 4 می 2026 بهصورت رسمی منتشر گردید.
اهداف این رقابت شامل موارد زیر بود:
- PostgreSQL
- Redis
- Kubernetes
- Linux Kernel
- Web Servers
هدف اصلی ZeroDay.Cloud، شناسایی مسیرهای واقعی سوءاستفاده و ارتقای امنیت در محیطهای ابری است که بخش عمدهای از زیرساختهای سازمانی امروز را تشکیل میدهند.
جزئیات فنی آسیبپذیریهای PostgreSQL
در این رویداد، دو ضعف بسیار خطرناک مرتبط با آسیبپذیریهای PostgreSQL با شناسههای CVE زیر گزارش شدند:
- CVE-2026-2005
- CVE-2026-2006
هر دو ضعف به سال 2005 بازمیگردند و در افزونه استاندارد pgcrypto برای انجام عملیات رمزنگاری وجود داشتند؛ افزونهای که بهطور گسترده در استقرارهای PostgreSQL مورد استفاده قرار میگیرد.
CVE-2026-2005؛ سوءاستفاده از طریق رمزگشایی کلید عمومی
این آسیبپذیری PostgreSQL در تابع pgp_parse_pubenc_sesskey هنگام رمزگشایی کلید عمومی رخ میدهد. مهاجم با ارسال یک پیام PGP دستکاریشده باعث میشود دادهای بیش از اندازه مجاز در یک بافر با سایز ثابت (Fixed-Size Buffer) کپی شود که منجر به خرابی حافظه Heap (Heap Buffer Overflow) میگردد.
سناریوی حمله:
کاربر با سطح دسترسی CREATE میتواند افزونه pgcrypto را فعال کرده و با زنجیرهای از تکنیکها شامل افشای حافظه (Memory Leaks) و نوشتن دلخواه (Arbitrary Writes) سطح دسترسی خود را افزایش دهد. در نهایت، مهاجم قادر خواهد بود دستورات دلخواه را با سطح دسترسی مالک پایگاهداده اجرا کند که میتواند منجر به اجرای کد از راه دور (RCE) شود.
این آسیبپذیری PostgreSQL توسط تیم Xint Code شناسایی شده است.
CVE-2026-2006؛ ضعف در رمزگشایی متقارن و خرابی حافظه
در تابع pgp_sym_decrypt، بررسیهای لازم روی دادههای UTF-8 بهدرستی انجام نمیشوند. دادههای نامعتبر از توابعی مانند pg_mblen و pg_utf_mblen عبور کرده و باعث خواندن و نوشتن خارج از محدوده (Out-of-Bounds Read/Write) میشوند.
پیامدهای امنیتی:
- خرابی حافظه (Memory Corruption)
- کنترل جریان اجرای برنامه
- تغییر تنظیمات سیستم مانند search_path
- سوءاستفاده برای اجرای دستورات سیستمی و دستیابی به اجرای کد از راه دور (RCE)
این آسیبپذیری توسط تیم Bugz Bunnies شناسایی شده است.
وضعیت PostgreSQL در محیطهای ابری و اهمیت پچهای امنیتی
بررسیهای شرکت Wiz نشان میدهد:
- PostgreSQLدر بیش از 80 درصد زیرساختهای ابری فعال است.
- 45 درصد از نمونهها بهصورت مستقیم از اینترنت قابل دسترسی هستند.
این آمار اهمیت پچ سریع آسیبپذیریهای PostgreSQL را دوچندان میکند، زیرا در بسیاری از سناریوهای عملی، دسترسی به پایگاهداده میتواند معادل دسترسی به بخش قابلتوجهی از زیرساخت سازمان باشد.
شناسایی آسیبپذیری مشابه در MariaDB
همچنین تیم Xint Code یک آسیبپذیری دیگر با شناسه CVE‑2026‑32710 را در MariaDB شناسایی کرده است. این ضعف از نوع خرابی حافظه Heap بوده و در تابع JSON_SCHEMA_VALID قرار دارد. یک کاربر احراز هویتشده میتواند تنها با اجرای یک کوئری SQL، باعث کرش سرور یا اجرای کد دلخواه شود.
پچها و اقدامات کاهش ریسک
پچهای امنیتی رفع آسیبپذیریهای PostgreSQL در اوایل فوریه 2026 برای نسخههای 14.21 تا 18.2 منتشر شدند. MariaDB نیز آسیبپذیری CVE‑2026‑32710 را در نسخههای 11.4.10 و 11.8.6 در تاریخ 4 فوریه 2026 برطرف کرده است.
توصیههای امنیتی:
- اعمال فوری پچها و بهروزرسانیها
- محدودسازی دسترسی به CREATE EXTENSION
- بررسی دقیق لاگها برای الگوهای مشکوک مرتبط با PGP و JSON
- جلوگیری از دسترسی مستقیم PostgreSQL از اینترنت عمومی
