CVE-2025-58450

Nome do Software Vulnerável e Versões Afetadas: Versões do pREST anteriores a 2.0.0-rc3

Descrição: O pREST (PostgreSQL REST) é uma API que disponibiliza uma aplicação sobre um banco de dados Postgres. Existem múltiplas falhas de injeção de SQL devido à validação de entrada insuficiente ao construir consultas SQL. Essas vulnerabilidades permitem que atacantes leiam arquivos sensíveis, roubem credenciais e manipulem bancos de dados. Especificamente, os problemas surgem de operações de concatenação de strings utilizando entrada de usuário não validada, tratamento inadequado de identificadores e vulnerabilidades em predicados tsquery e templates de script. A lógica de validação da função chkInvalidIdentifier também apresenta falhas, permitindo ataques de injeção. A exploração pode levar ao acesso não autorizado e modificação de dados, e potencialmente ao acesso a arquivos no sistema de arquivos subjacente ou execução de comandos arbitrários.

Recomendações: Para versões anteriores a 2.0.0-rc3: