17认证网PG 19 Beta 1 持续发酵,Supabase 同月甩出 Multigres + ChatGPT 集成;pgAdmin 4 一周爆出 4 个 CVSS 9.0+ 漏洞,DBA 这周真得动一动
📅 2026 年 06 月 15 日 — 06 月 22 日(第 25 周)
一、重磅头牌:pgAdmin 4 9.2 紧急发布,4 个 CVSS 9.0+ 漏洞一次性修复
2026 年 6 月 19 日,pgAdmin 团队紧急发布 9.2 版本,一次性修复 4 个高危漏洞,且全部 9.0 分以上。pgAdmin 4 是绝大多数 DBA 日常管理 PG 的核心工具,覆盖面极广,因此这一波更新优先级建议拉到 P0。
漏洞清单(一图看懂)
|
|
|
|
|
|
|---|---|---|---|---|
| CVE-2026-12048 |
|
9.3 |
|
|
| CVE-2026-12046 |
|
9.0 |
|
|
| CVE-2026-12045 |
|
9.0 |
|
|
| CVE-2026-12044 |
|
8.8 |
|
|
> DBA 这周要做的事:把生产环境的 pgAdmin 升到 9.2;公网暴露的 pgAdmin 立刻收回到 VPN/堡垒机之后;如果短期升不了,先把 ENABLE_AI=false
关掉,能直接抹掉 CVE-2026-12045 的攻击面。
这次漏洞的两个特别值得关注的点
第一,AI 助手成了新的攻击面。 CVE-2026-12045 是首个针对 pgAdmin 内置 AI 助手的提示词注入高危漏洞。AI 助手读取自然语言生成 SQL,本质上就是一个”用户输入 → SQL”的转换器,但安全边界没处理好。低权限用户可以通过精心构造的 prompt 绕过校验层,让 AI 跑出任意 SQL。这意味着:所有把 AI 嵌进数据库工具的产品,未来都要重新过一遍 prompt injection 审计,pgAdmin 只是第一个翻车的。
第二,CSRF 在管理类 Web 应用里依然是 P0 级别问题。 CVE-2026-12046 反映的是 anti-CSRF token 没在关键端点上验证——这本来是 Web 安全教科书第一章的内容,pgAdmin 这种成熟产品还翻车,说明长生命周期项目里”安全债”会反复出现。给团队的提醒:升级管理类工具时,安全更新优先级要排在功能更新前面。
二、安全警报:PG 18.4 13-17 紧急安全更新已发布
PostgreSQL 全球开发组在 6 月 7 日发布 PG 18.4、18.3、17.8、16.12、15.16、13.22 的安全更新,同时修复 11 个 CVE,其中多个可导致服务器崩溃甚至任意代码执行。
重点 CVE 速查表
|
|
|
|
|
|---|---|---|---|
| CVE-2026-6479 |
|
|
必修 |
| CVE-2026-6473 |
|
|
必修 |
| CVE-2026-6475 | pg_basebackup
pg_rewind |
|
必修 |
| CVE-2026-6474 | timeofday()
pg_strftime() |
|
|
| CVE-2026-6638 | ALTER SUBSCRIPTION ... REFRESH PUBLICATION |
|
|
| CVE-2026-6476 | pg_createsubscriber |
|
|
| CVE-2026-6575 |
|
|
|
| CVE-2026-6477 | libpq
PQfn() |
|
|
| CVE-2026-6478 |
|
|
|
| CVE-2026-6472 | CREATE TYPE
|
|
|
| CVE-2026-6637 | contrib/spi
check_foreign_key() |
|
|
> 升级建议:生产环境 18.3 → 18.4 是必修;17.x 用户升到 17.8;16.x 升到 16.12;13-15 升到对应小版本。所有升级都是原地升级(in-place),不需要 dump/restore。
这批 CVE 透露的三个趋势
1. 逻辑复制成为新攻击面:CVE-2026-6638 和 CVE-2026-6476 都出自逻辑复制链路。这意味着 PG 拓扑越复杂(多发布、多订阅、跨版本),需要审的代码路径就越多。 2. RCE 不再只靠 SQL 注入:CVE-2026-6473 这类整数溢出是”老牌 C 项目”通病,PG 18/19 还在持续修。跑 32 位 PG 的人尤其危险。 3. 工具链开始反超内核成为风险源:pgAdmin 这周 4 个 9.0+ CVE + 这批内核 CVE = 提醒我们,生产环境的安全边界至少包含三块:内核、运维工具、SQL 客户端。
三、PG 社区动态
CommitFest:PG20-1 开启征集
PG19 已进入 Final 收尾,PG20-1 CommitFest 已于本周开启征集,截止 6 月 30 日;下一个 CF 是 7 月 1 日—7 月 31 日的 PG20-2。PG 19 的特性冻结和回归测试在有条不紊推进,本周没有重大 patch 决策爆出。
> 对插件作者和补丁贡献者:现在就是提交 PG 20 新特性 patch 的窗口期,PG 19 已经收口,PG 20 的活才刚开始。
pgsql-hackers 讨论热点
本周邮件列表讨论主要集中在三个方向:
– PG 19 Beta 1 回归测试反馈:早期测试者报告了若干边界问题,包括 SQL/PGQ 的 MATCH 语法在嵌套子查询里的解析器歧义; – VACUUM/REPACK
行为差异:REPACK 命令(PG 19 新增)被指出在某些 TOAST 链场景下与 VACUUM FULL
行为不完全等价; – autovacuum 并行化阈值调优:社区在讨论 autovacuum_max_parallel_workers
的合理默认值(当前默认 2)。
Multigres 团队用 TLA+ 抓出 pg_rewind 静默数据丢失 Bug
Supabase Multigres 团队本周公开了一篇技术博客:他们用 TLA+ 形式化验证在 pg_rewind 中发现了一个静默数据丢失 Bug——快速连续两次 failover 后,备机可能携带”幻影写入”。团队提出在 timeline history entry 中嵌入 UUIDv7 来区分独立提升的方案。
> 为什么这事值得关注:传统 PG 圈用 TLA+ 形式化验证关键路径的不多,这次直接抓出了 pg_rewind 的隐藏 bug,说明 PG 高可用链路的正确性证明还有大量空白。对核心 HA 组件做形式化验证可能是接下来几年 PG 工程界的新方向。
四、热门插件 & 生态工具链
一线主力(生产环境可直接采用)
pgvector – 本周状态:稳定版,PG 19 兼容性持续打磨 – 点评:仍然是 PG 向量检索的事实标准。PG 19 的 LZ4 TOAST 压缩对高维向量存储更友好 – 推荐版本:0.8.x
系列,建议跟踪 upstream 提交
pg_duckdb – 本周状态:积极开发中,v0.x 系列 – 点评:把 DuckDB 的列存分析引擎塞进 PG,OLAP 场景神器。本周无重大 release,但社区活跃 – 适用场景:跨 PG 表的快速分析查询、Parquet 直读
pg_cron – 本周状态:稳定,PG 19 适配中 – 点评:PG 内置定时任务的事实标准。PG 19 的并行 autovacuum 不会影响 pg_cron 调度 – 注意点:监控 pg_cron 的 cron.job_run_details
表膨胀
Patroni 4.1.3(5 月 5 日发布,本周持续推荐) – 关键修复:成员发现和 lease-keepalive 路径上重新认证、JSON 解析容错 – 点评:4.1 系列已经稳定,建议在 PG 18.x 集群上锁定 4.1.3
pgBackRest 2.58.0 – 当前 stable,PG 19 兼容性良好 – 点评:增量备份、并行恢复、校验和验证这些核心能力没有对手。PG 19 的 incremental backup 优化后,pgBackRest 收益更明显
推荐关注(值得评估)
pg_search(ParadeDB 出品) – 基于 Tantivy 的全文检索,Elasticsearch 的 PG 替代 – 点评:BM25 + 全文索引原生 SQL 语法,纯 PG 圈终于有靠谱的全文替代
pg_mooncake – DuckDB + Iceberg 风格的列存扩展 – 点评:云原生数据湖 + PG 单机的混合方案,对实时数仓场景有吸引力
pg_failover_slots – 本周状态:维护中 – 点评:PG 19 之后逻辑复制槽同步原生增强,但跨大版本升级时仍是必备工具
备份工具选型参考
|
|
|
|
|
|
|---|---|---|---|---|
| pgBackRest |
|
|
|
|
| barman |
|
|
|
|
| WAL-G |
|
|
|
|
| pg_basebackup |
|
|
|
|
监控工具选型参考
|
|
|
|
|---|---|---|
| pgwatch2 |
|
|
| pgSCV 0.14.1 |
|
|
| pgMonitor |
|
|
| postgres_exporter |
|
|
五、PG × AI 前沿动态
Supabase 6 月开发者更新:Multigres 0.1 alpha + ChatGPT App
Supabase 在 6 月初放出本月度开发者更新,本周仍是 PG × AI 圈的最热话题。要点:
1. Multigres 0.1 alpha 开源发布 – 定位:PG 集群的”操作系统”,统一管理分片、连接池、自动 failover、备份编排 – 关键看点:pg_rewind 的 UUIDv7 修复就是 Multigres 团队做出来的(见三、社区动态) – 状态:纯开源 alpha,Supabase 自家集成”即将到来” – 思考:Multigres 走的是 Vitess/CockroachDB 的路线——把 PG 当成单机引擎,外部加分布式层。这和 Citus 走的是完全不同的技术哲学
2. Supabase 正式成为 ChatGPT App – 集成 29 个工具:SQL 执行、schema 变更、branching、edge function 部署、live logs – 全程在 ChatGPT 内对话管理 PG 基础设施 – 需要 ChatGPT Plus/Pro/Team/Enterprise 付费账号 – 思考:“ChatGPT 管理我的数据库”听起来科幻,但这正是 AI Agent 落地的真实路径——把高频 DBA 操作封装成工具,让 LLM 调度。短期内不会取代 DBA,但会成为”超级 DBA 助手”
3. AI Coding Agent 插件 – Supabase MCP server + agent skills 一键打包 – 支持 Claude Code、Cursor、Codex、Gemini CLI – 涵盖:数据库查询、migration 管理、Edge Function 部署、PG 最佳实践 – 点评:这是把”AI 写 SQL + AI 部署”链条打通的关键一步。以往 AI 只能写 SQL,部署还要人肉;现在 MCP 协议让 AI 直接动 DB
4. Passkey 登录 + 临时令牌数据库访问 – 基于 WebAuthn 的无密码认证 – 90 天过期的 Personal Access Token 授权数据库访问 – 关注点:临时令牌模式是 B2B 场景的关键,比长期密码更适合外包开发、审计场景
Neon 与 Supabase 的 6 月博弈
Neon(被 Databricks 收购后的独立运营)和 Supabase 6 月继续在 serverless PG 市场掰手腕。技术差异点没变:
– Neon:纯数据库 + 分支开发,scale-to-zero 做透 – Supabase:BaaS 全家桶(DB + Auth + Storage + Edge Functions)
选择建议: – 纯 DB 需求、需要数据库 branching 做 CI/CD 预览 → Neon – 要一站式后端、需要 Auth/Storage/Edge → Supabase
六、本周荐读
> 《A deep dive into pgAdmin 4’s AI assistant bypass (CVE-2026-12045)》 —— threat-modeling.com > > 推荐理由:这周 pgAdmin 4 个 CVE 里,AI 助手越权那个最值得深读。文章拆解了 pgAdmin 内部的 AI 查询校验层如何被 prompt injection 绕过,给所有”AI 嵌进数据库工具”的产品上了一堂安全课。读完之后你会重新评估自家产品里”AI 跑 SQL”那条路径是否安全。
> 《Multigres: a scalable operating system for Postgres》 —— Supabase Blog > > 推荐理由:Multigres 0.1 alpha 公开 release 的技术博客。它代表了 Supabase 对”PG 分布式”路线的全部思考:分片、连接池、failover、备份的统一抽象层。如果你关心 PG 怎么走向分布式、Patroni 之后下一代 HA 长什么样,这篇必读。
> 《PostgreSQL 19 Beta 1: a tour through the new features》 —— pgPedia > > 推荐理由:PG 19 Beta 1 出来两周了,是时候系统看一遍新特性了。pgPedia 的中文版本把 SQL/PGQ、REPACK、并行 autovacuum、JIT 默认关闭等关键点都梳理清楚了。对还在跑 PG 16/17 的团队,这篇是规划明年升级路径的起点。
七、PG 生态本周时间线
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
pgAdmin 4 v9.2 紧急发布,修复 4 个 CVSS 9.0+ 漏洞 |
|
|
|
|
|
|
|
|
|
转自:瀚高PG实验室
版权申明:内容来源网络,版权归原创者所有,如有侵权请联系删除
想了解更多行业资讯
扫码关注👇
了解更多考试相关
扫码添加上智启元官方客服微信👇
