【风险通告】PostgreSQL存在远程代码执行漏洞（CVE-2025-8715）

漏洞概述
漏洞名称	PostgreSQL存在远程代码执行漏洞（CVE-2025-8715）
安恒CERT评级	2级	CVSS3.1评分	8.8
CVE编号	CVE-2025-8715	CNVD编号	未分配
CNNVD编号	未分配	安恒CERT编号	DM-202508-001258
POC情况	未发现	EXP情况	未发现
在野利用	未发现	研究情况	分析中
危害描述	PostgreSQL中对换行符的不当处理，pg_dump允许源服务器用户以运行psql的客户端操作系统帐户身份，通过在特制对象名中嵌入psql代码，在还原时注入任意代码执行。同样的攻击也可以还原目标服务器的超级用户身份实现SQL注入。

该产品主要使用客户行业分布广泛，漏洞危害性高，建议客户尽快做好自查及防护。

漏洞信息

PostgreSQL是一个功能强大的开源对象关系数据库系统，支持SQL（关系型）和JSON（非关系型）查询。

漏洞描述

漏洞危害等级：高危

漏洞类型：远程代码执行

影响范围
影响版本：
PostgreSQL 17.x < 17.6
PostgreSQL 16.x < 16.10
PostgreSQL 15.x < 15.14
PostgreSQL 14.x < 14.19
PostgreSQL 13.x < 13.22

CVSS向量

访问途径（AV）：网络
攻击复杂度（AC）：低
所需权限（PR）：无
用户交互（UI）：需要
影响范围 （S）：不变
机密性影响 （C）：高
完整性影响 （l）：高
可用性影响 （A）：高



官方修复方案：

官方已发布修复方案，受影响的用户请将PostgreSQL升级到对应的安全版本。

临时缓解方案：

避免使用pg_dump生成可能包含不受信任数据的转储，直到升级至安全版本。


参考资料

https://www.postgresql.org/support/security/CVE-2025-8715/