Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en pgproto3 (CVE-2026-32286)

Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
26/03/2026
Última modificación:
01/07/2026

Descripción

La función DataRow.Decode no valida correctamente las longitudes de los campos. Un servidor PostgreSQL malicioso o comprometido puede enviar un mensaje DataRow con una longitud de campo negativa, causando un pánico de desbordamiento de límites de slice.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:jackc:pgproto3:*:*:*:*:*:go:*:* 2.0.0 (incluyendo) 2.3.3 (incluyendo)