CVE-2025-1094

Nome do Software Vulnerável e Versões Afetadas Versões do PostgreSQL anteriores a 17.3 Versões do PostgreSQL anteriores a 16.7 Versões do PostgreSQL anteriores a 15.11 Versões do PostgreSQL anteriores a 14.16 Versões do PostgreSQL anteriores a 13.19

Descrição O problema está relacionado à neutralização inadequada da sintaxe de aspas nas funções libpq do PostgreSQL, especificamente PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() e PQescapeStringConn(). Isso permite que uma fonte de entrada do banco de dados realize injeção de SQL em certos padrões de uso, particularmente quando o aplicativo usa o resultado da função para construir entrada para o psql, o terminal interativo do PostgreSQL. Da mesma forma, a neutralização inadequada da sintaxe de aspas em programas utilitários de linha de comando do PostgreSQL permite que uma fonte de argumentos de linha de comando realize injeção de SQL quando client encoding for BIG5 e server encoding for um dos seguintes: EUC TW ou MULE INTERNAL. A vulnerabilidade foi explorada em ataques no mundo real, incluindo o hack do Tesouro dos EUA, e é considerada de alta gravidade.

Recomendações Para versões anteriores a 17.3, atualize para a versão 17.3 ou posterior. Para versões anteriores a 16.7, atualize para a versão 16.7 ou posterior. Para versões anteriores a 15.11, atualize para a versão 15.11 ou posterior. Para versões anteriores a 14.16, atualize para a versão 14.16 ou posterior. Para versões anteriores a 13.19, atualize para a versão 13.19 ou posterior. Como solução alternativa temporária, considere restringir o acesso à ferramenta psql e limitar o uso das funções libpq vulneráveis até que um patch seja aplicado.