In den PostgreSQL Versionen von 12 bis 15 klafft eine Security Lücke beim Refresh von MViews, wenn dieses Refresh durch einen Superuser ausgeführt wird. Um diese Lücke auszunutzen, braucht man nur einen MView in einem beliebigen Schema (zb: Public) anlegen und einen Superuser dazu bekommen, diese zu refreshen. In der MView kann man dabei einen beliebigen SQL Befehl ausführen lassen.
Diese Lücke ist als CVE-2024-0985 geführt. Folgende Versionen enthalten die korrigierte Version:
- PostgreSQL 12.18
- PostgreSQL 13.14
- PostgreSQL 14.11
- PostgreSQL 15.6
Man sollte zügig auf diese Versionen umsteigen.