CVE-2026-13455
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność w PostgreSQL Anonymizer umożliwia nieuprzywilejowanym użytkownikom z maskowaniem wielokrotne wywoływanie funkcji anon.hash() i zbieranie par (seed, hash_output) w celu przeprowadzenia ataku brute-force offline i odgadnięcia soli.
Ocena ryzyka
Ryzyko polega na tym, że atakujący może odtworzyć sól używaną do maskowania danych, co może prowadzić do ujawnienia oryginalnych wartości wrażliwych danych.
Rekomendacja
Zaleca się natychmiastową aktualizację PostgreSQL Anonymizer do wersji 3.1.2 lub nowszej, która usuwa tę podatność.
Oryginalny opis (angielski, źródło NVD)
PostgreSQL Anonymizer contains a vulnerability that allows unprivileged masked users to repeatedly call the anon.hash() function and collects (seed, hash_output) pairs to perform an offline brute-force attack and deduce the salt. The problem is resolved in PostgreSQL Anonymizer 3.1.2 and later versions

