Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - CVE - CVE-2025-1094

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - CVE CVE-2025-1094
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CVE-2025-1094

PUBLISHED 14.03.2025

CNA: PostgreSQL

PostgreSQL quoting APIs miss neutralizing quoting syntax in text that fails encoding validation

Обновлено: 13.02.2025
Improper neutralization of quoting syntax in PostgreSQL libpq functions PQescapeLiteral(), PQescapeIdentifier(), PQescapeString(), and PQescapeStringConn() allows a database input provider to achieve SQL injection in certain usage patterns. Specifically, SQL injection requires the application to use the function result to construct input to psql, the PostgreSQL interactive terminal. Similarly, improper neutralization of quoting syntax in PostgreSQL command line utility programs allows a source of command line arguments to achieve SQL injection when client_encoding is BIG5 and server_encoding is one of EUC_TW or MULE_INTERNAL. Versions before PostgreSQL 17.3, 16.7, 15.11, 14.16, and 13.19 are affected.

CWE

Идентификатор Описание
CWE-149 Improper Neutralization of Quoting Syntax

БДУ ФСТЭК

Идентификатор Описание
BDU:2025-01601 Уязвимость функций PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() и PQescapeStringConn() библиотеки libpq системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольный код

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО
Идентификатор Дата бюллетеня Описание
VULN:20250303-24 03.03.2025 Выполнение произвольного кода в PostgreSQL
VULN:20250416-57 16.04.2025 Выполнение произвольного кода в Oracle Linux

CVSS

Оценка Severity Версия Базовый вектор
8.1 HIGH 3.1 CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Доп. Информация

Product Status

PostgreSQL
Product: PostgreSQL
Vendor: n/a
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 17 до 17.3 affected
Наблюдалось в версиях от 16 до 16.7 affected
Наблюдалось в версиях от 15 до 15.11 affected
Наблюдалось в версиях от 14 до 14.16 affected
Наблюдалось в версиях от 0 до 13.19 affected
 

Ссылки

https://www.postgresql.org/support/security/CVE-2025-1094/

CISA ADP Vulnrichment

Обновлено: 14.03.2025
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
poc no total 2.0.3 13.02.2025

CVE Program Container

Обновлено: 21.02.2025
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.

Ссылки

https://lists.debian.org/debian-lts-announce/2025/02/msg00015.html
http://www.openwall.com/lists/oss-security/2025/02/16/3
http://www.openwall.com/lists/oss-security/2025/02/20/1
https://lists.debian.org/debian-lts-announce/2025/02/msg00024.html
https://security.netapp.com/advisory/ntap-20250221-0010/
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.