Aktívne zneužívaná zraniteľnosť v databázovom systéme PostgreSQL

Vývojári databázového systému PostgreSQL vydali bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú zero-day zraniteľnosť vysokej závažnosti. CVE-2025-1094 vo viacerých funkciách libpq možno zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

• PostgreSQL 17.X vo verziách starších ako 17.3
• PostgreSQL 16.X vo verziách starších ako 16.7
• PostgreSQL 15.X vo verziách starších ako 15.11
• PostgreSQL 14.X vo verziách starších ako 14.16
• PostgreSQL 13.X vo verziách starších ako 13.19

Opis zraniteľnosti:

CVE-2025-1094 (CVSS skóre 8,1)

CVE-2025-1094 spočívajúcu v nesprávnej neutralizácii syntaxe úvodzoviek vo viacerých funkciách libpq a príkazovom riadku by vzdialený neautentifikovaný útočník prostredníctvom SQL injekcie vedúcej k zneužitiu funkcionality pre spúšťanie metapríkazov mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľnosť je možné zneužiť len pri špecifickej konfigurácii systémov:

• výstupy libpq funkcií sú používané ako vstupy do psql (interaktívny terminál PostgreSQL)
• súčasné nastavení client_encoding na hodnotu BIG5 a server_encoding na hodnoty EUC_TW alebo MULE_INTERNAL.

Pozn.: Zraniteľnosť je podľa spoločnosti RAPID-7 aktívne zneužívaná minimálne od decembra 2024. Jej zneužitie bolo zaznamenané v súvislosti s útokmi zneužívajúcimi zraniteľnosti v produktoch BeyondTrust PRA (Privileged Remote Access) a BeyondTrust RS (Remote Support).

Možné škody:

• Vzdialené vykonanie kódu

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú aktualizáciu zraniteľných systémov na verzie 17.3, 16.7, 15.11, 14.16 alebo 13.19.

Zdroje:

• https://www.postgresql.org/support/security/CVE-2025-1094/
• https://www.rapid7.com/blog/post/2025/02/13/cve-2025-1094-postgresql-psql-sql-injection-fixed/