Уязвимости PostgreSQL: CVE, БДУ ФСТЭК и мониторинг
Уязвимости PostgreSQL из реестра БДУ ФСТЭК: 118 записей. CVE, CVSS-оценки и сроки устранения по приказу ФСТЭК №117.
Уязвимости PostgreSQL из БДУ ФСТЭК
Показаны уязвимости с подтверждённой эксплуатацией (KEV, EPSS ≥ 10%, exploit). Всего в БДУ: 118.
BDU:2024-07481Уязвимость реализации протокола OAuth2 инструмента управления базами данных pgAdmin 4, позволяющая нарушителю повысить свои привилегии
BDU:2024-02704Уязвимость инструмента управления базами данных pgAdmin 4, существующая из-за неверного ограничения имени пути к каталогу с ограниченным доступом, позволяющая нарушителю выполнить произвольный код
BDU:2025-04744Уязвимость инструмента управления базами данных pgAdmin 4, связанная с отсутствием авторизации, позволяющая нарушителю обойти проверку авторизации и выполнить произвольный код
BDU:2024-01869Уязвимость файла cookie-сеанса (pga4_session) инструмента управления базами данных pgAdmin 4, позволяющая нарушителю выполнить произвольный код
BDU:2025-01601Уязвимость функций PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() и PQescapeStringConn() библиотеки libpq системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произ
BDU:2019-01829Уязвимость системы управления базами данных PostgreSQL, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код
BDU:2025-03867Уязвимость функции eval() модулей Cloud Deployment и Query Tool инструмента управления базами данных pgAdmin 4, позволяющая нарушителю выполнить произвольный код
BDU:2017-02038Уязвимость системы управления базами данных PostgreSQL, связанная с недостатками процедуры аутентифиации, позволяющая нарушителю получить доступ к учетной записи базы данных
BDU:2019-04099Уязвимость реализации команды «INSERT ... ON CONFLICT DO UPDATE» системы управления базами данных PostgreSQL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
BDU:2023-06044Уязвимость реализации прикладного программного интерфейса HTTP инструмента управления базами данных pgAdmin 4, позволяющая нарушителю выполнять произвольные команды на сервере
Почему важно отслеживать уязвимости PostgreSQL
PostgreSQL — основная СУБД в сценариях импортозамещения, рекомендованная ФСТЭК для ГИС и КИИ. Типовые уязвимости: SQL-инъекции (CWE-89), повышение привилегий через расширения (CWE-264), утечка информации (CWE-200). PostgreSQL Global Development Group выпускает обновления безопасности для актуальных мажорных версий (14, 15, 16, 17). Для баз данных с персональными данными (ИСПДн) или данными КИИ каждая CVE с CVSS ≥ 7.0 требует устранения в 7 дней по приказу ФСТЭК №117. SGRC-платформа отслеживает версии PostgreSQL в инфраструктуре и уведомляет при появлении новых CVE.
Сроки устранения по приказу ФСТЭК №117
Приказ ФСТЭК №117 (п. 38) устанавливает сроки устранения уязвимостей в зависимости от уровня критичности. Отсчёт начинается с момента выявления уязвимости в инфраструктуре оператора. Методика КЗИ дополнительно контролирует: уязвимости с опубликованным патчем не должны оставаться неустранёнными более 30 дней (для устройств на периметре) или 90 дней (для внутренних систем).
CVSS 9.0–10.0
24 часа
CVSS 7.0–8.9
7 дней
CVSS 4.0–6.9
30 дней
CVSS 0.1–3.9
Плановое
Полезные ресурсы
Автоматизируйте мониторинг уязвимостей PostgreSQL
SGRC-платформа КиберОснова: синхронизация с БДУ ФСТЭК, расчёт SLA, уведомления.