PostgreSQL 全球开发组宣布了一项重要安全更新,影响所有受支持版本的 PostgreSQL 关系型数据库。此次更新适用于 PostgreSQL 17.6、16.10、15.14、14.19 和 13.22,以及 PostgreSQL 18 beta3。公告表示,本次更新共修复了 3 个安全漏洞,并修复了过去几个月内报告的 55 个以上缺陷。
第一个漏洞 CVE-2025-8713 的 CVSS 评分为 3.1,影响 PostgreSQL 13 至 17 版本。公告写道:
“PostgreSQL 的优化器统计信息允许用户读取视图中抽样的数据,即使该用户无权访问该视图……统计信息可能使用户读取原本应被行级安全策略隐藏的数据。”
该漏洞可能使恶意用户绕过访问控制和行级策略,泄露诸如 直方图 和 most-common-values 列表 等敏感统计信息。
第二个漏洞 CVE-2025-8714 的 CVSS 评分为 8.8,严重性远高于前者。该漏洞位于 pg_dump 工具 中,可能允许源服务器上的恶意超级用户在备份文件中注入任意代码,并在恢复时执行。公告警告称:
“PostgreSQL 中的 pg_dump 工具存在不受信任数据注入问题,允许源服务器的恶意超级用户注入代码,在恢复时以执行 psql 的操作系统账户权限执行。”
此漏洞影响 pg_dump、pg_dumpall 和 pg_restore,尤其是在使用 普通文本格式导出 时。
第三个漏洞 CVE-2025-8715 的 CVSS 评分同样为 8.8,影响 PostgreSQL 13 至 17 版本,其根本原因是对于 换行符处理不当。描述如下:
“PostgreSQL 的 pg_dump 工具未正确清理换行符,攻击者可通过特制对象名插入 psql 元命令,从而在恢复时执行任意代码。”
该漏洞不仅可导致 恢复阶段执行任意代码,还可能带来 SQL 注入风险。公告指出,尽管类似问题在 CVE-2012-0868 中曾被修复,但在 PostgreSQL 11.20 版本中重新引入。
由于 CVE-2025-8714 和 CVE-2025-8715 的严重性较高,PostgreSQL 官方敦促用户尽快更新,以避免生产系统遭受 数据泄露 与 远程代码执行攻击。
发表评论
您还未登录,请先登录。
登录