El código heredado no perdona. En un hallazgo que sacude los cimientos de dos de las bases de datos open source más utilizadas del mundo, investigadores de seguridad han revelado un conjunto de vulnerabilidades críticas y de alta gravedad en PostgreSQL y MariaDB. Lo más alarmante: dos de estos fallos llevaban más de 20 años ocultos, esperando el momento de ser descubiertos por una herramienta de inteligencia artificial.

El anuncio se realizó durante el evento de hacking zeroday.cloud de Wiz, donde el equipo de Xint Code, una plataforma de análisis de seguridad basada en IA, demostró que incluso el software más maduro puede albergar errores ancestrales. Las vulnerabilidades afectan a componentes centrales de ambas bases de datos y, en el peor de los casos, permiten la ejecución remota de código (RCE) en los servidores.

PostgreSQL: dos décadas de silencio en pgcrypto

La vulnerabilidad más urgente en PostgreSQL es un desbordamiento de búfer en el montón, registrado como CVE-2026-2005, que reside en la extensión pgcrypto. Esta extensión, que proporciona funciones criptográficas, ha estado presente desde que se incorporó al núcleo de PostgreSQL en 2005. Un atacante puede explotar esta falla enviando entradas especialmente diseñadas que provocan una discrepancia de tamaño, lo que deriva en escrituras fuera de los límites del montón. En entornos donde pgcrypto procesa datos controlados por el usuario, esto puede escalar a ejecución remota de código.

La vulnerabilidad afecta a todas las versiones compatibles de PostgreSQL y ha sido corregida en las versiones v18.2, v17.8, v16.12, v15.16 y v14.21. Con una calificación CVSS de 8,8 (alta), el riesgo es inminente. Como señalaron los investigadores: “el código vulnerable ha estado presente desde que pgcrypto se incorporó por primera vez en 2005, hace más de 20 años”.

Pero no fue el único hallazgo. El equipo Bugz Bunnies, compitiendo en el mismo evento, identificó un error de validación ausente, CVE-2026-2006, que permite la ejecución de código arbitrario. Con una puntuación CVSS cercana a 9, este fallo también se corrigió en las mismas actualizaciones. Los mantenedores de PostgreSQL instan a los usuarios a actualizar de inmediato, especialmente porque el 80% de los entornos en la nube utilizan PostgreSQL y el 45% están directamente expuestos a Internet, según un análisis de Wiz.

MariaDB: un desbordamiento en la validación JSON

En MariaDB, la IA de Xint Code encontró un desbordamiento de búfer en la función JSON_SCHEMA_VALID(), registrado como CVE-2026-32710. Esta función, utilizada para validar esquemas JSON, permite a un usuario autenticado provocar un fallo del sistema que, bajo condiciones controladas, puede escalar a ejecución remota de código. Aunque la explotación es menos trivial que en PostgreSQL —requiere manipulación de la estructura de memoria, algo factible solo en entornos de laboratorio—, el riesgo no es menor.

Como explicó el equipo de Xint Code: “cualquier usuario que pueda abrir una sesión SQL, ya sea mediante credenciales robadas, inyección SQL o movimiento lateral, puede acceder a esta ruta de código con una sola llamada a la función”. Las versiones afectadas son 11.4.1-11.4.9 y 11.8.1-11.8.5, con correcciones en 11.4.10 y 11.8.6. La vulnerabilidad recibió una calificación de 8,5 (alta) por GitHub, pero NIST la clasificó como crítica con un CVSS de 9,9.

Lecciones para la seguridad empresarial

Este descubrimiento subraya la importancia de las herramientas de análisis basadas en IA para detectar vulnerabilidades que el ojo humano —y las técnicas tradicionales— pasan por alto. En un contexto donde la observabilidad y la seguridad convergen, la capacidad de la IA para escudriñar código legacy es un activo invaluable.

Para las empresas que gestionan sus propias bases de datos, la lección es clara: actualizar inmediatamente a las versiones parcheadas. No hacerlo expone la infraestructura a ataques que, aunque requieren cierto nivel de acceso, pueden ser explotados por atacantes que ya hayan comprometido la red. La combinación de credenciales robadas, inyección SQL o movimiento lateral convierte estas vulnerabilidades en una puerta abierta al RCE.

Además, este caso refuerza la necesidad de adoptar un enfoque proactivo en la seguridad del software, similar al que promueven iniciativas como la Ley de IA de la UE, que busca establecer marcos de responsabilidad para sistemas críticos. La inteligencia artificial no solo descubre fallos, sino que también puede ayudar a prevenirlos si se integra en los ciclos de desarrollo.

En ForgeNEX, creemos que la gestión de vulnerabilidades debe ser un pilar de cualquier estrategia de TI. La detección temprana, como la lograda por Xint Code, es el primer paso para evitar que el código fosilizado se convierta en una bomba de tiempo.

Fuente original: ComputerWorld. Análisis y adaptación por ForgeNEX.