Vulnerabilidad de Alta Severidad en pgvector

Resumen

El Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT-UC) informa sobre una vulnerabilidad de alta severidad que afecta a la extensión pgvector, una herramienta fundamental para el almacenamiento y búsqueda de vectores (comúnmente utilizada en aplicaciones de IA y LLMs) dentro de PostgreSQL.

La falla permite que un actor malicioso provoque un desbordamiento de búfer durante la creación de índices en paralelo. Esto podría resultar en la lectura no autorizada de datos sensibles de otras tablas o en la caída total del servidor de la base de datos (Denegación de Servicio).

Detalle de la Vulnerabilidad

La vulnerabilidad se manifiesta específicamente durante la construcción de índices de tipo HNSW (Hierarchical Navigable Small World) cuando se utiliza el procesamiento en paralelo.

Productos y Versiones Afectadas

Se recomienda revisar las instancias de PostgreSQL que tengan instalada la extensión en las siguientes versiones:

• pgvector: Desde la versión 0.6.0 hasta la 0.8.1 (inclusive).

Recomendación de Seguridad

El CSIRT-UC insta a los administradores de bases de datos y desarrolladores de la Universidad a tomar las siguientes medidas:

1. Actualización Obligatoria: Actualizar la extensión a la versión 0.8.2 o superior de forma inmediata.
2. Verificación de Versión: Puede comprobar la versión instalada ejecutando el siguiente comando SQL:SELECT * FROM pg_extension WHERE extname = 'vector';
3. Aplicar el Parche: Una vez actualizado el binario en el sistema, no olvide ejecutar en la base de datos:ALTER EXTENSION vector UPDATE;
4. Monitoreo: Vigilar los logs del servidor en busca de bloqueos inesperados o errores de segmentación durante la creación de índices.

Referencias Oficiales

• Anuncio de PostgreSQL: Lanzamiento de pgvector 0.8.2
• Registro CVE: CVE-2026-3172 en CVE.org

CSIRT-UC