Os atores de ameaças que estavam por trás da exploração de uma vulnerabilidade zero-day nos produtos BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS) em dezembro de 2024 provavelmente também exploraram uma falha de injeção SQL anteriormente desconhecida no PostgreSQL, de acordo com descobertas da Rapid7.
A vulnerabilidade, identificada como
CVE-2025-1094
(pontuação CVSS: 8,1), afeta a ferramenta interativa psql do PostgreSQL.
"Um atacante que pode gerar uma injeção SQL por meio do
CVE-2025-1094
pode então conseguir a execução de código arbitrário (ACE) ao aproveitar a capacidade da ferramenta interativa de executar meta-comandos", disse o pesquisador de segurança Stephen Fewer.
A empresa de cibersegurança também observou que fez a descoberta como parte de sua investigação sobre o
CVE-2024-12356
, uma falha de segurança recentemente corrigida no software da BeyondTrust que permite a execução remota de código sem autenticação.
Especificamente, descobriu que "um exploit bem-sucedido para o
CVE-2024-12356
tinha que incluir a exploração do
CVE-2025-1094
para conseguir a execução remota de código." Em uma divulgação coordenada, os mantenedores do PostgreSQL lançaram uma atualização para resolver o problema nas seguintes versões:
- PostgreSQL 17 (Corrigido na versão 17.3)
- PostgreSQL 16 (Corrigido na versão 16.7)
- PostgreSQL 15 (Corrigido na versão 15.11)
- PostgreSQL 14 (Corrigido na versão 14.16)
- PostgreSQL 13 (Corrigido na versão 13.19)
A vulnerabilidade surge de como o PostgreSQL lida com caracteres UTF-8 inválidos, abrindo assim a porta para um cenário onde um atacante poderia explorar uma injeção SQL usando o comando de atalho "\!", que permite a execução de comandos shell.
"Um atacante pode se aproveitar do
CVE-2025-1094
para realizar este meta-comando, controlando assim o comando shell do sistema operacional que é executado", disse Fewer.
Alternativamente, um atacante que pode gerar uma injeção SQL via
CVE-2025-1094
pode executar instruções SQL arbitrárias controladas pelo atacante.
O desenvolvimento ocorre enquanto a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança que impacta o software de suporte remoto SimpleHelp (CVE-2024-57727, pontuação CVSS: 7,5) ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais apliquem as correções até 6 de março de 2025.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...