PostgreSQL 18.1、17.7、16.11、15.15、14.20 和 13.23 版本发布

PostgreSQL 全球开发团队近日发布了针对所有当前受支持版本的更新，涵盖 PostgreSQL 18.1、17.7、16.11、15.15、14.20 以及 13.23。此次发布修复了两个安全漏洞，并解决了过去数月内报告的超过 50 个问题。

关于 PostgreSQL 13 停止维护的通知

本次发布的 13.23 是 PostgreSQL 13 系列的最后一个版本。自此之后，PostgreSQL 13 将不再接受任何维护更新，包括安全补丁和缺陷修复。建议用户尽快升级至仍在支持周期内的更高版本。更多详情请参考官方的版本支持策略。

安全漏洞详情

CVE-2025-12817：CREATE STATISTICS 命令未校验模式下的 CREATE 权限

• CVSS v3.1 基础评分：3.1
• 受影响版本范围：PostgreSQL 13 至 18（在 18.1、17.7、16.11、15.15、14.20 和 13.23 之前）

该问题源于 CREATE STATISTICS 命令在执行时未正确检查目标模式是否具备 CREATE 权限。这使得表的所有者可在任意模式中创建同名对象，从而干扰其他具有 CREATE STATISTICS 权限的用户操作，导致其后续建表失败，构成一种拒绝服务攻击向量。

阿里巴巴推出的AI编程工具

CVE-2025-12818：libpq 客户端库因整数回绕导致内存分配不足

• CVSS v3.1 基础评分：5.9
• 受影响版本范围：PostgreSQL 13 至 18（在 18.1、17.7、16.11、15.15、14.20 和 13.23 之前）

PostgreSQL 的 libpq 客户端库中多个函数存在整数溢出风险。当处理恶意构造的输入或来自不可信网络对等方的数据时，可能触发内存分配过小的问题，进而引发大规模越界写入，最终可能导致使用 libpq 的应用程序崩溃（如出现段错误）。建议所有使用 libpq 的应用立即升级。

更多信息请访问：https://www.php.cn/link/a315bb3296a043597fc3758b29dbe9ff

源码下载地址：点击获取