Выполнение произвольного кода в Postgres Pro Certified, PostgreSQL
Уязвимое программное обеспечение
- до 17.5 (Postgres Pro Certified), до 16.9 (Postgres Pro Certified), до 15.13 (Postgres Pro Certified), до 14.18 (Postgres Pro Certified), до 13.21 (Postgres Pro Certified), от 17.0 до 17.6 (PostgreSQL), от 16.0 до 16.10 (PostgreSQL), от 15.0 до 15.14 (PostgreSQL), от 14.0 до 14.19 (PostgreSQL), от 13.0 до 13.22 (PostgreSQL)
Последствия эксплуатации
ACE: Выполнение произвольного кода
Common Vulnerability Scoring System
Рейтинг: ВЫСОКИЙ
Оценка: 8.8
Вектор: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Вектор атаки: Сетевой
Сложность атаки: Низкая
Требуемые привилегии: Нет
Границы эксплуатации: Неизменный
Влияние на Конфиденциальность: Высокая
Влияние на Целостность: Высокая
Влияние на Доступность: Высокая
Метод эксплуатации
Инъекция.
Взаимодействие с пользователем: Требуется
Уменьшение последствий
Данная уязвимость устраняется официальным патчем вендора. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуем устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Наличие обновления: Есть
Common Weakness Enumeration
CWE: CWE-89
Описание: Некорректная нейтрализация специальных элементов, используемых в SQL-командах (внедрение SQL-кода)
Ссылки
- https://bdu.fstec.ru/vul/2025-09829
- https://www.postgresql.org/support/security/CVE-2025-8714/
- https://postgrespro.ru/products/postgrespro/certified"
