【风险通告】PostgreSQL存在远程代码执行漏洞(CVE-2025-8715)
漏洞概述
漏洞名称
PostgreSQL存在远程代码执行漏洞(CVE-2025-8715)
安恒CERT评级
2级
CVSS3.1评分
8.8
CVE编号
CVE-2025-8715
CNVD编号
未分配
CNNVD编号
未分配
安恒CERT编号
DM-202508-001258
POC情况
未发现
EXP情况
未发现
在野利用
未发现
研究情况
分析中
危害描述
PostgreSQL中对换行符的不当处理,pg_dump允许源服务器用户以运行psql的客户端操作系统帐户身份,通过在特制对象名中嵌入psql代码,在还原时注入任意代码执行。同样的攻击也可以还原目标服务器的超级用户身份实现SQL注入。
该产品主要使用客户行业分布广泛,漏洞危害性高,建议客户尽快做好自查及防护。
漏洞信息
PostgreSQL是一个功能强大的开源对象关系数据库系统,支持SQL(关系型)和JSON(非关系型)查询。
漏洞描述
漏洞危害等级:高危
漏洞类型:远程代码执行
影响范围
影响版本:
PostgreSQL 17.x < 17.6
PostgreSQL 16.x < 16.10
PostgreSQL 15.x < 15.14
PostgreSQL 14.x < 14.19
PostgreSQL 13.x < 13.22
CVSS向量
访问途径(AV):网络
攻击复杂度(AC):低
所需权限(PR):无
用户交互(UI):需要
影响范围 (S):不变
机密性影响 (C):高
完整性影响 (l):高
可用性影响 (A):高
官方修复方案:
官方已发布修复方案,受影响的用户请将PostgreSQL升级到对应的安全版本。
临时缓解方案:
避免使用pg_dump生成可能包含不受信任数据的转储,直到升级至安全版本。
参考资料
https://www.postgresql.org/support/security/CVE-2025-8715/
页:
[1]