Выполнение произвольного кода в Postgres Pro Certified, PostgreSQL
Содержание
Уязвимое программное обеспечение
- до 17.5 (Postgres Pro Certified), до 16.9 (Postgres Pro Certified), до 15.13 (Postgres Pro Certified), до 14.18 (Postgres Pro Certified), до 13.21 (Postgres Pro Certified), от 17.0 до 17.6 (PostgreSQL), от 16.0 до 16.10 (PostgreSQL), от 15.0 до 15.14 (PostgreSQL), от 14.0 до 14.19 (PostgreSQL), от 13.0 до 13.22 (PostgreSQL)
Последствия эксплуатации
ACE: Выполнение произвольного кода
Common Vulnerability Scoring System
Рейтинг: ВЫСОКИЙ
Оценка: 8.8
Вектор: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Вектор атаки: Сетевой
Сложность атаки: Низкая
Требуемые привилегии: Нет
Границы эксплуатации: Неизменный
Влияние на Конфиденциальность: Высокая
Влияние на Целостность: Высокая
Влияние на Доступность: Высокая
Метод эксплуатации
Инъекция.
Взаимодействие с пользователем: Требуется
Уменьшение последствий
Данная уязвимость устраняется официальным патчем вендора.
Наличие обновления: Есть
Common Weakness Enumeration
CWE: CWE-89
Описание: Некорректная нейтрализация специальных элементов, используемых в SQL-командах (внедрение SQL-кода)
Ссылки
- https://bdu.fstec.ru/vul/2025-09829
- https://www.postgresql.org/support/security/CVE-2025-8714/
- https://postgrespro.ru/products/postgrespro/certified"
