文章预览
通告编号:NS-2025-0009 2025-02-20 TA G: PostgreSQL、SQL注入、CVE-2025-1094 漏洞危害: 攻击者利用此漏洞,可实现SQL注入。 版本: 1.0 1 漏洞概述 近日,绿盟科技CERT监测到PostgreSQL发布安全公告,修复了PostgreSQL SQL注入漏洞(CVE-2025-1094),CVSS评分8.1;由于PostgreSQL的psql工具对无效UTF-8字符(例如 hax\xC0'; \! id #)的处理缺陷,导致SQL语句被意外分割,未经身份验证的攻击者可通过构造特制的输入实现SQL注入,从而利用PostgreSQL交互式终端psql来执行任意代码。目前漏洞细节与PoC已公开,且发现在野利用,请相关用户尽快采取措施进行防护。 PostgreSQL是一款功能强大、灵活可定制的开源关系型数据库管理系统(RDBMS),支持Windows、Linux、UNIX、Mac OS X、BSD等多种操作系统。 参考链接: https://www.postgresql.org/support/security/CVE-2025-1094 SEE MORE → 2 影响范围 受影响版本 17
………………………………
