一、漏洞概述
漏洞名稱 | PostgreSQL SQL注入漏洞 |
CVE ID | CVE-2025-1094 |
漏洞類型 | SQL注入 | 發現時間 | 2025-02-21 |
漏洞評分 | 8.1 | 漏洞等級 | 高危 |
攻擊向量 | 網絡 | 所需權限 | 無 |
利用難度 | 高 | 用戶交互 | 無 |
PoC/EXP | 已公開 | 在野利用 | 未發現 |
PostgreSQL是一個開源、強大的關系型數據庫管理系統,支持SQL標準及擴展,廣泛應用于企業級應用。它具備高可靠性、可擴展性、數據完整性和并發控制功能,支持多種編程語言和擴展機制。PostgreSQL的特點包括ACID事務支持、復雜查詢優化、JSON數據類型處理、全文搜索等。它適用于從小型應用到大型數據倉庫的各種場景。
2025年2月21日,啟明星辰集團VSRC監測到PostgreSQL發布了關于CVE-2025-1094漏洞的安全公告。公告指出,PostgreSQL的libpq函數(如PQescapeLiteral()、PQescapeIdentifier()、PQescapeString()和PQescapeStringConn())在某些使用模式下未能正確處理引號語法,可能導致SQL注入漏洞。攻擊者可以通過構造惡意輸入,利用這些函數的返回結果在PostgreSQL交互終端psql中執行惡意SQL語句。此外,PostgreSQL命令行工具在特定字符編碼環境下(如client_encoding為BIG5、server_encoding為EUC_TW或MULE_INTERNAL時)也可能受到類似SQL注入攻擊的威脅。該漏洞的CVSS評分為8.1分,漏洞等級為高危。
二、影響范圍
三、安全措施
3.1 升級版本
官方已于2025年2月13日發布了修復補丁,建議受影響版本的用戶盡快進行升級。具體修復版本如下:
PostgreSQL 17已在17.3版本中修復該漏洞PostgreSQL 16已在16.7版本中修復該漏洞PostgreSQL 15已在15.11版本中修復該漏洞PostgreSQL 14已在14.16版本中修復該漏洞PostgreSQL 13已在13.19版本中修復該漏洞
下載鏈接:
https://github.com/postgres/postgres/tags/
3.2 臨時措施
? 使用參數化查詢或預編譯語句,避免直接拼接用戶輸入。
3.4 參考鏈接
https://www.postgresql.org/support/security/CVE-2025-1094/https://www.postgresql.org/support/security/CVE-2025-1094https://nvd.nist.gov/vuln/detail/CVE-2025-1094