Falla Crítica en PostgreSQL: Ejecución de Código Arbitrario como Superusuario (CVE-2023-39417)

Por: Equipo Arce Systems

Una vulnerabilidad de inyección SQL en PostgreSQL, identificada como CVE-2023-39417, permite a un atacante autenticado con privilegios limitados ejecutar código arbitrario como el superusuario bootstrap. Esta falla se exploita a través de extensiones vulnerables no empaquetadas (non-bundled) y representa un riesgo significativo para entornos que utilizan extensiones de terceros.

Aunque la vulnerabilidad fue divulgada y parcheada en agosto de 2023, en 2025 sigue siendo relevante para sistemas no actualizados, bases de datos legacy o instalaciones que aún ejecutan versiones antiguas de PostgreSQL.

¿Qué es PostgreSQL y sus Extensiones?

PostgreSQL es uno de los sistemas de gestión de bases de datos relacionales de código abierto más populares y robustos del mundo, utilizado en aplicaciones empresariales, web y de big data.

Las extensiones permiten agregar funcionalidades adicionales (como pg_repack, pgaudit u otras de terceros). Estas se instalan mediante scripts SQL que utilizan sustituciones como @extowner@ (propietario de la extensión) o @extschema@ (esquema de la extensión) para configurarse automáticamente.

Detalles de la Vulnerabilidad (CVE-2023-39417)

Descubierta y reportada por el equipo de PostgreSQL, esta falla es una inyección SQL causada por el manejo incorrecto de sustituciones dentro de construcciones de comillas (dollar quoting, comillas simples o dobles).

• Impacto: Un atacante con privilegio CREATE en la base de datos puede ejecutar código arbitrario como el superusuario bootstrap (el usuario con máximos privilegios en el clúster PostgreSQL).
• Puntuación CVSS: 7.5 (Alta, aunque algunos la clasifican como crítica por el potencial de escalada).
• Versiones Afectadas: PostgreSQL 11 (hasta 11.20), 12 (hasta 12.15), 13 (hasta 13.11), 14 (hasta 14.8) y 15 (hasta 15.3).
• Condiciones para Explotación:
  • Debe existir una extensión trusted (de confianza) no empaquetada instalada que use sustituciones vulnerables dentro de comillas.
  • Ninguna extensión empaquetada (bundled) por defecto es vulnerable, pero ejemplos en la documentación y extensiones de terceros sí lo son.
  • El atacante necesita acceso autenticado con permiso CREATE (común en roles de desarrollador o aplicación).

No se requieren privilegios elevados iniciales más allá de CREATE, y la explotación no es remota sin acceso previo a la BD.

!Atención¡

Los parches fueron liberados en agosto de 2023 (versiones 11.21, 12.16, 13.12, 14.9 y 15.4). Sin embargo:

• Muchos entornos de producción mantienen versiones antiguas por compatibilidad.
• Extensiones de terceros no siempre se actualizan automáticamente.
• En auditorías recientes, se detectan instalaciones vulnerables en servidores cloud o on-premise sin mantenimiento continuo.

Esta CVE no está en el catálogo de vulnerabilidades explotadas conocidas de CISA, pero su potencial para escalada la hace atractiva en ataques post-compromiso inicial.

Cómo Mitigar y Protegerse

1. Actualizar PostgreSQL Inmediatamente:
   • Actualice a una versión parcheada o superior (recomendado PostgreSQL 16 o posterior).
   • Ejemplo en sistemas basados en Debian/Ubuntu: sudo apt update && sudo apt upgrade postgresql
   • En Red Hat/CentOS/Rocky: sudo dnf update postgresql
2. Revisar Extensiones Instaladas:
   • Liste extensiones con \dx en psql.
   • Verifique si alguna usa patrones vulnerables (busque en los scripts de la extensión).
   • Desinstale o actualice extensiones no esenciales.
3. Mejores Prácticas:
   • Aplique el principio de menor privilegio: No otorgue CREATE a usuarios no confiables.
   • Use roles restringidos para aplicaciones.
   • Monitoree logs por intentos de creación de extensiones sospechosas.
   • Escanee con herramientas como pgAudit o escáneres de vulnerabilidades.

El parche de PostgreSQL bloquea el ataque a nivel del servidor principal, sin necesidad de modificar extensiones individuales.

Fuentes:

• Advisory Oficial PostgreSQL: https://www.postgresql.org/support/security/CVE-2023-39417/
• NVD (National Vulnerability Database): https://nvd.nist.gov/vuln/detail/CVE-2023-39417
• Red Hat Security Advisory: https://access.redhat.com/security/cve/CVE-2023-39417

Mantenga sus bases de datos seguras y actualizadas. ¡Siga news.arcesystems.com.co para más noticias y alertas de ciberseguridad!