El Grupo Global de Desarrollo de PostgreSQL ha lanzado una actualización para todas las versiones soportadas de PostgreSQL, incluyendo la 18.1, 17.7, 16.11, 15.15, 14.20, y 13.23. Con esta versión se corrigen 2 vulnerabilidades de seguridad y 50 errores notificados en los últimos meses.

Para consultar la lista completa de los cambios realizados, revisen las notas de la versión.

Notificación de EOL para PostgreSQL 13

Esta es la versión final de PostgreSQL 13. PostgreSQL 13 ha llegado al final de su vida útil y dejará de recibir correcciones de seguridad y errores. Si están utilizando PostgreSQL 13 en un entorno de producción, les sugerimos hacer planes para actualizar a una versión más reciente y soportada de PostgreSQL. Para más información, consulten nuestra política de versiones.

Problemas de seguridad

CVE-2025-12817: PostgreSQL CREATE STATISTICS no comprueba el privilegio CREATE del esquema

Puntuación base CVSS v3.1: 3.1

Versiones soportadas vulnerables: 13 – 18.

Debido a una falta de autorización en el comando CREATE STATISTICS de PostgreSQL, el propietario de una tabla puede provocar una denegación de servicio a otros usuarios de CREATE STATISTICS, creando estadísticas en cualquier esquema. Esto ocasiona que una ejecución posterior de CREATE STATISTICS con el mismo nombre —por un usuario que sí posee el privilegio CREATE— falle. El problema afecta a todas las versiones anteriores a PostgreSQL 18.1, 17.7, 16.11, 15.15, 14.20 y 13.23..

El proyecto PostgreSQL agradece a Jelte Fennema-Nio por reportar este problema.

CVE-2025-12818: Asignaciones insuficientes en libpq debido a wraparound de enteros

Puntuación base CVSS v3.1: 5.9

Versiones soportadas vulnerables: 13 – 18.

El wraparound de enteros en varias funciones de la biblioteca cliente libpq de PostgreSQL puede permitir que una entrada proporcionada por la aplicación, o un par en la red, induzca a libpq a realizar asignaciones de memoria insuficientes y termine escribiendo fuera de los límites por cientos de megabytes. Esto provoca un error de segmentación en las aplicaciones que utilizan libpq. Afecta a versiones anteriores a PostgreSQL 18.1, 17.7, 16.11, 15.15, 14.20 y 13.23.

El proyecto PostgreSQL agradece a Aleksey Solovev (Positive Technologies) por reportar este problema.

Corrección de errores y mejoras

Esta actualización corrige más de 50 errores reportados en los últimos meses. Aunque los problemas que se enumeran a continuación afectan a PostgreSQL 18, es posible que algunos de ellos afecten también a otras versiones soportadas de PostgreSQL.

• Se evita la devolución de registros duplicados en hash right semi-joins.
• Se previenen posibles errores por falta de memoria al crear índices GIN en paralelo.
• Varias correcciones para índices BRIN.
• Correcciones para caídas relacionadas con tablas particionadas, incluido uno que ocurre durante una reevaluación (recheck).
• Se evita que las restricciones de partición hash se dupliquen al usar DETACH CONCURRENTLY, ya que esto ocasionaba problemas durante operaciones de dump/restore o cuando la tabla padre se eliminaba tras el DETACH.
• Se prohíbe el uso de columnas generadas en claves de partición y en cláusulas COPY ... FROM ... WHERE.
• Se corrige reporte erróneo del retraso de replicación en la vista pg_stat_replication.
• Se evitan fallas cuando synchronized_standby_slots apunta a slots de replicación inexistentes.
• Se previene el cierre inesperado del receptor de WAL al cambiar la fuente de WAL de streaming a archivo. 
• Se evita la invalidación innecesaria de slots de replicación lógicos.
• Manejo adecuado de GROUP BY DISTINCT en sentencias de asignación de PL/pgSQL.
• Se soluciona una fuga de memoria al gestionar errores SQL dentro de PL/Python.
• Se mejora el manejo de errores de sockets en Windows dentro de la lógica GSSAPI de libpq.
• Se corrige el volcado de restricciones NOT NULL no heredadas en columnas de tablas heredadas.
• Se garantiza un orden consistente de claves foráneas en la salida de pg_dump.
• Se corrigen varios problemas de manejo y reporte de errores en pgbench.
• Se corrige una fuga de memoria en pg_combinebackup.
• Se permite que usuarios no superusuarios con permisos SELECT en una tabla utilicen pg_prewarm para precalentar sus índices.

Actualización

Todas las actualizaciones de PostgreSQL son acumulativas. Al igual que en otras actualizaciones menores, para instalar esta actualización no es necesario realizar un volcado y volver a cargar la base de datos o usar pg_upgrade. Es suficiente con detener PostgreSQL y actualizar los binarios.

Si anteriormente se omitieron una o más actualizaciones, podría ser necesario seguir algunos pasos posteriores a la actualización. Para más detalles consulten las notas de las versiones anteriores.

Para más detalles, véanse las notas de la versión.

Enlaces

• Descargas
• Notas de la versión
• Seguridad
• Política de versiones
• Reporte de errores
• Donaciones

Correcciones o sugerencias relativas a este anuncio de lanzamiento pueden enviarse a la lista de correo pública pgsql-www@lists.postgresql.org.