【风险通告】PostgreSQL存在远程代码执行漏洞(CVE-2025-8715)
漏洞概述
漏洞名称
PostgreSQL存在远程代码执行漏洞(CVE-2025-8715)
安恒CERT评级
2级
CVSS3.1评分
8.8
CVE编号
CVE-2025-8715
CNVD编号
未分配
CNNVD编号
未分配
安恒CERT编号
DM-202508-001258
POC情况
未发现
EXP情况
未发现
在野利用
未发现
研究情况
分析中
危害描述
PostgreSQL中对换行符的不当处理,pg_dump允许源服务器用户以运行psql的客户端操作系统帐户身份,通过在特制对象名中嵌入psql代码,在还原时注入任意代码执行。同样的攻击也可以还原目标服务器的超级用户身份实现SQL注入。
该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。
漏洞信息
PostgreSQL是一个功能强大的开源对象关系数据库系统,支持SQL(关系型)和JSON(非关系型)查询。
漏洞描述
漏洞危害等级:高危
漏洞类型:远程代码执行
影响范围
影响版本:
PostgreSQL 17.x < 17.6
PostgreSQL 16.x < 16.10
PostgreSQL 15.x < 15.14
PostgreSQL 14.x < 14.19
PostgreSQL 13.x < 13.22
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):无
用户交互(UI):需要
影响范围 (S):不变
机密性影响 (C):高
完整性影响 (l):高
可用性影响 (A):高
官方修复方案:
官方已发布修复方案,受影响的用户请将PostgreSQL升级到对应的安全版本。
临时缓解方案:
避免使用pg_dump生成可能包含不受信任数据的转储,直到升级至安全版本。
参考资料
https://www.postgresql.org/support/security/CVE-2025-8715/
Re: 【风险通告】PostgreSQL存在远程代码执行漏洞(CVE-2025-8715)
感谢分享这个风险通告,评分8.8确实需要重视。看到官方已经出了修复版本,建议还在受影响版本范围内的用户尽快安排升级。另外临时缓解方案里提到的避免用pg_dump处理不可信数据,这个在日常运维中也要留意。Re: 【风险通告】PostgreSQL存在远程代码执行漏洞(CVE-2025-8715)
感谢分享这个漏洞情报,信息很完整。PostgreSQL用户确实需要重视起来,尤其是高危评分和广泛的行业使用范围。官方已经给出了升级建议和临时缓解方案,大家尽量尽快升级到安全版本,避免使用不可信的转储文件。Re: 【风险通告】PostgreSQL存在远程代码执行漏洞(CVE-2025-8715)
感谢分享这个漏洞情报!CVE-2025-8715 评了 8.8 分,而且影响范围涵盖了多个主流版本,确实需要重视。特别是通过 pg_dump 和 psql 的交互链实现代码执行,攻击面比较隐蔽。官方已经出了修复版本,大家还是尽快升级到对应安全版本比较稳妥。临时方案里提到的避免使用 pg_dump 处理不可信数据也是个实用的临时措施。
页:
[1]