A critical remote code execution vulnerability (CVE-2026-2006, CVSS 8.8 HIGH) has been disclosed in VMware Tanzu for Postgres. Affected versions include PostgreSQL 14.0 through 14.20, 15.0 through 15.15, 16.0 through 16.11, 17.0 through 17.7, and 18.0 through 18.1. The fix requires upgrading to versions 14.21, 15.16, 16.12, 17.8, or 18.2 respectively.
Premier Ministre S.G.D.S.N Agence nationale de la sécurité des systèmes d'information Paris, le 24 mars 2026 N° CERTFR-2026-AVI-0346 Affaire suivie par: CERT-FR Avis du CERT-FR Objet: Vulnérabilité dans VMware Tanzu pour Postgres Gestion du document Référence CERTFR-2026-AVI-0346 Titre Vulnérabilité dans VMware Tanzu pour Postgres Date de la première version 24 mars 2026 Date de la dernière version 24 mars 2026 Source(s) Bulletin de sécurité VMware 37294 du 23 mars 2026 Une gestion de version détaillée se trouve à la fin de ce document. Risque Exécution de code arbitraire à distance Systèmes affectés Tanzu pour Postgres versions 15.x antérieures à 15.17.0 Tanzu pour Postgres versions 16.x antérieures à 16.13.0 Tanzu pour Postgres versions 17.x antérieures à 17.9.0 Tanzu pour Postgres versions 18.x antérieures à 18.3.0 Tanzu pour Postgres versions antérieures à 14.22.0 Résumé Une vulnérabilité a été découverte dans VMware Tanzu pour Postgres. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. Solutions Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Documentation Bulletin de sécurité VMware 37294 du 23 mars 2026 https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/37294 Référence CVE CVE-2026-2006 https://www.cve.org/CVERecord?id=CVE-2026-2006 Gestion détaillée du document le 24 mars 2026 Version initiale