Brecha em PostgreSQL
14 de Fevereiro de 2025

Os atores de ameaças que estavam por trás da exploração de uma vulnerabilidade zero-day nos produtos BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS) em dezembro de 2024 provavelmente também exploraram uma falha de injeção SQL anteriormente desconhecida no PostgreSQL, de acordo com descobertas da Rapid7.

A vulnerabilidade, identificada como CVE-2025-1094 (pontuação CVSS: 8,1), afeta a ferramenta interativa psql do PostgreSQL.

"Um atacante que pode gerar uma injeção SQL por meio do CVE-2025-1094 pode então conseguir a execução de código arbitrário (ACE) ao aproveitar a capacidade da ferramenta interativa de executar meta-comandos", disse o pesquisador de segurança Stephen Fewer.

A empresa de cibersegurança também observou que fez a descoberta como parte de sua investigação sobre o CVE-2024-12356 , uma falha de segurança recentemente corrigida no software da BeyondTrust que permite a execução remota de código sem autenticação.

Especificamente, descobriu que "um exploit bem-sucedido para o CVE-2024-12356 tinha que incluir a exploração do CVE-2025-1094 para conseguir a execução remota de código." Em uma divulgação coordenada, os mantenedores do PostgreSQL lançaram uma atualização para resolver o problema nas seguintes versões:

- PostgreSQL 17 (Corrigido na versão 17.3)
- PostgreSQL 16 (Corrigido na versão 16.7)
- PostgreSQL 15 (Corrigido na versão 15.11)
- PostgreSQL 14 (Corrigido na versão 14.16)
- PostgreSQL 13 (Corrigido na versão 13.19)

A vulnerabilidade surge de como o PostgreSQL lida com caracteres UTF-8 inválidos, abrindo assim a porta para um cenário onde um atacante poderia explorar uma injeção SQL usando o comando de atalho "\!", que permite a execução de comandos shell.

"Um atacante pode se aproveitar do CVE-2025-1094 para realizar este meta-comando, controlando assim o comando shell do sistema operacional que é executado", disse Fewer.

Alternativamente, um atacante que pode gerar uma injeção SQL via CVE-2025-1094 pode executar instruções SQL arbitrárias controladas pelo atacante.

O desenvolvimento ocorre enquanto a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou uma falha de segurança que impacta o software de suporte remoto SimpleHelp (CVE-2024-57727, pontuação CVSS: 7,5) ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais apliquem as correções até 6 de março de 2025.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...