【漏洞通告】PostgreSQL SQL注入漏洞(CVE-2025-1094)

文章预览

一、漏洞概述 漏洞名称 PostgreSQL SQL注入漏洞 CVE   ID CVE-2025-1094 漏洞类型 SQL注入 发现时间 2025-02-21 漏洞评分 8.1 漏洞等级 高危 攻击向量 网络 所需权限 无 利用难度 高 用户交互 无 PoC/EXP 已公开 在野利用 未发现 PostgreSQL是一个开源、强大的关系型数据库管理系统，支持SQL标准及扩展，广泛应用于企业级应用。它具备高可靠性、可扩展性、数据完整性和并发控制功能，支持多种编程语言和扩展机制。PostgreSQL的特点包括ACID事务支持、复杂查询优化、JSON数据类型处理、全文搜索等。它适用于从小型应用到大型数据仓库的各种场景。 2025年2月21日，启明星辰集团VSRC监测到PostgreSQL发布了关于CVE-2025-1094漏洞的安全公告。公告指出，PostgreSQL的libpq函数（如PQescapeLiteral()、PQescapeIdentifier()、PQescapeString()和PQescapeStringConn()）在某些使用模式下未能正确处理引号语法 ………………………………