Rapid7 的研究人员在 PostgreSQL 的交互式工具 psql 中发现了一个严重的 SQL 注入漏洞(CVE-2025-1094)。这个漏洞是在对 BeyondTrust 产品中另一个漏洞的利用情况进行调查时发现的,攻击者可利用该漏洞在受影响的系统上执行任意代码。根据 Rapid7 的报告,CVE-2025-1094 源于 “一种错误的假设,即认为当攻击者控制的不可信输入已通过 PostgreSQL 的字符串转义例程被安全转义后,就无法被利用来成功实施 SQL 注入攻击”。然而,研究人员发现,当被转义的不可信输入被包含在由 psql 执行的 SQL 语句中时,在特定情况下,SQL 注入仍然是可能的。该漏洞的产生源于 PostgreSQL 的字符串转义例程处理无效 UTF-8 字符的方式,与 psql 处理这些字符中无效字节序列的方式之间的相互作用。报告解释称:“由于 PostgreSQL 的字符串转义例程处理无效 UTF-8 字符的方式,再加上 psql 处理无效 UTF-8 字符中无效字节序列的方式,攻击者可以利用 CVE-2025-1094 来实施 SQL 注入。”成功利用 CVE-2025-1094 漏洞可以通过利用 psql 运行元命令的能力来实现任意代码执行(ACE),元命令扩展了该工具的功能。具体来说,元命令允许执行操作系统的 shell 命令。报告警告称:“攻击者可以利用 CVE-2025-1094 来执行这个元命令,从而控制所执行的操作系统 shell 命令。”在调查对 BeyondTrust 产品中未认证远程代码执行漏洞 CVE-2024-12356 的利用情况时,Rapid7 发现,要实现远程代码执行(RCE),利用 CVE-2025-1094 漏洞是必要的一步。尽管 BeyondTrust 在 2024 年 12 月修复了 CVE-2024-12356 漏洞,但直到 Rapid7 发现该问题之前,底层的 PostgreSQL 漏洞一直未得到解决。PostgreSQL 17.3、16.7、15.11、14.16 和 13.19 之前的所有受支持版本都受到影响。该漏洞的 CVSS 3.1 基础评分为 8.1,表明其严重程度很高。强烈建议 PostgreSQL 用户升级到最新的已修复版本以修复此漏洞。Rapid7 还在 AttackerKB 中发布了关于 CVE-2025-1094 的详细技术分析,以及它与 CVE-2024-12356 的关系,同时还提供了一个用于测试目的的 Metasploit 漏洞利用模块。管理员应立即采取的措施:1.立即将 PostgreSQL 升级到 17.3、16.7、15.11、14.16 或 13.19 版本。2.仅将 psql 工具的访问权限限制给受信任的用户。3.在 PostgreSQL 处理所有用户输入之前对其进行清理。4.监控数据库活动日志,查找意外的 SQL 查询或 shell 命令执行情况。
