Aviso de seguridad
Nivel de peligrosidad: Alto
Descripción
CVE-2025-1094 es una vulnerabilidad de inyección SQL que afecta a PostgreSQL debido a la neutralización incorrecta de la sintaxis de las comillas en las funciones de libpq. Esto permite que un atacante remoto no autenticado ejecute código arbitrario mediante una inyección SQL al enviar instrucciones SQL especialmente diseñadas. La vulnerabilidad se origina en el manejo inadecuado de caracteres UTF-8 no válidos, lo que puede ser explotado para ejecutar comandos del sistema operativo a través de la herramienta psql.
Recursos afectados
- versiones anteriores a 17.3.
- versiones anteriores a 16.7.
- versiones anteriores a 15.11.
- versiones anteriores a 14.16.
- versiones anteriores a 13.19.
Solución
Actualizar PostgreSQL y sus variantes (EPAS y Extended) a las siguientes versiones o superiores:
PostgreSQL 13.19, 14.16, 15.11, 16.7 o 17.3.
Referencias