【漏洞通告】PostgreSQL SQL注入漏洞(CVE-2025-1094)
内容提要
PostgreSQL发布安全公告,修复SQL注入漏洞(CVE-2025-1094),CVSS评分8.1。攻击者可利用此漏洞执行任意代码。受影响版本包括17以下的多个版本,用户应尽快升级或采取临时防护措施,如验证UTF-8编码和限制psql访问权限。
关键要点
-
PostgreSQL发布安全公告,修复SQL注入漏洞(CVE-2025-1094),CVSS评分8.1。
-
攻击者可利用此漏洞执行任意代码,受影响版本包括17以下的多个版本。
-
用户应尽快升级或采取临时防护措施,如验证UTF-8编码和限制psql访问权限。
-
受影响的PostgreSQL版本包括:17到17.3、16到16.7、15到15.11、14到14.16、13到13.19。
-
不受影响的版本包括:PostgreSQL 17.3及以上、16.7及以上、15.11及以上、14.16及以上、13.19及以上。
-
临时防护措施包括:验证UTF-8编码、避免动态SQL、限制psql工具的访问权限。
延伸解读
漏洞影响分析
CVE-2025-1094漏洞的CVSS评分为8.1,表明其潜在危害性较高。攻击者可以通过构造特定输入实现SQL注入,进而执行任意代码。这意味着受影响的数据库可能面临数据泄露或系统控制的风险,用户需对此保持高度警惕。
升级与防护措施
对于受影响的PostgreSQL版本,用户应尽快进行官方升级,以确保系统安全。如果暂时无法升级,建议采取临时防护措施,如验证UTF-8编码和限制psql访问权限。这些措施可以在一定程度上降低被攻击的风险。
版本检测与资产排查
用户可以通过SQL查询命令检查当前使用的PostgreSQL版本是否在受影响范围内。此外,绿盟科技的自动化渗透测试工具也支持对PostgreSQL服务的识别,帮助用户进行资产排查,及时发现潜在风险。
延伸问答
CVE-2025-1094漏洞的危害是什么?
攻击者可以利用此漏洞执行任意代码。
哪些PostgreSQL版本受到CVE-2025-1094漏洞的影响?
受影响版本包括17以下的多个版本,如17到17.3、16到16.7、15到15.11等。
如何检测当前使用的PostgreSQL版本是否受影响?
可以通过特定的SQL查询命令查看当前使用的PostgreSQL版本。
如果无法立即升级PostgreSQL,应该采取什么临时防护措施?
可以验证UTF-8编码、避免动态SQL和限制psql工具的访问权限。
CVE-2025-1094漏洞的CVSS评分是多少?
该漏洞的CVSS评分为8.1。
哪些PostgreSQL版本不受CVE-2025-1094漏洞影响?
不受影响的版本包括PostgreSQL 17.3及以上、16.7及以上等。
