O PostgreSQL Global Development Group agendou um release fora do ciclo para 26 de fevereiro de 2026. O motivo: a atualização de segurança publicada em 12 de fevereiro, que corrigia uma vulnerabilidade crítica de execução remota de código (CVE-2026-2006, CVSS 8.8), acabou introduzindo duas regressões que afetam cenários comuns de produção.
Todas as branches ativas foram impactadas — de PostgreSQL 14 a 18. Quem aplicou o patch de segurança precisa ficar atento ao hotfix.
O que aconteceu
Em 12 de fevereiro, o time do PostgreSQL lançou as versões 18.2, 17.8, 16.12, 15.16 e 14.21 para corrigir a CVE-2026-2006. Essa vulnerabilidade permitia que um usuário autenticado do banco explorasse uma falha na validação de comprimento de caracteres multibyte em funções de manipulação de texto, causando um buffer overrun que podia levar a execução arbitrária de código no servidor.
A correção era urgente e necessária. O problema é que ela trouxe efeitos colaterais.
As duas regressões
A primeira regressão afeta a função `substring(). Após o patch, chamadas que processam texto não-ASCII proveniente de colunas do banco passaram a retornar o erro "invalid byte sequence for encoding". Na prática, qualquer aplicação que use substring()` sobre dados com acentos, caracteres CJK ou emojis armazenados em colunas pode quebrar.
A segunda regressão impacta ambientes com replicação. Servidores standby podem parar com o erro `"could not access status of transaction"`, interrompendo a replicação e potencialmente afetando a disponibilidade de réplicas de leitura.
As duas regressões são efeitos colaterais diretos do fix da CVE-2026-2006. O primeiro bug atinge aplicações multilíngues de forma ampla; o segundo compromete arquiteturas de alta disponibilidade.
O que fazer agora
As versões corrigidas serão 18.3, 17.9, 16.13, 15.17 e 14.22, com publicação prevista para 26 de fevereiro de 2026.
Se você já aplicou as versões de 12/02 e está enfrentando problemas, existem duas opções:
- Aguardar o hotfix de 26/02 e aplicar as novas versões assim que disponíveis
- Aplicar o fix manualmente a partir do código-fonte, seguindo as instruções na página wiki do projeto: `
2026-02_Regression_Fixes`
Se você ainda não atualizou para as versões de 12/02, a recomendação é esperar pelo release de 26/02, que já incluirá tanto a correção de segurança da CVE-2026-2006 quanto as correções das regressões.
O próximo release regular está agendado para 14 de maio de 2026. Até lá, acompanhe o canal de anúncios oficial para eventuais atualizações sobre o cronograma.