Scoperto da Rapid7: difetto di iniezione SQL di alta gravità
In una scoperta significativa in ambito di cybersecurity, Rapid7, azienda leader nel settore, ha individuato una vulnerabilità di iniezione SQL ad alta gravità, CVE-2025-1094, che colpisce lo strumento interattivo PostgreSQL. Questa vulnerabilità, scoperta da Stephen Fewer, responsabile principale della sicurezza di Rapid7, ha un punteggio base CVSS 3.1 di 8.1, classificato come alto.
La vulnerabilità si basa su un'errata supposizione che quando l'input controllato dall'attaccante e non attendibile è stato correttamente escapato dalle routine di escaping delle stringhe di PostgreSQL, non possa essere sfruttato per generare un attacco di iniezione SQL di successo. Questa supposizione si rivela falsa in un determinato scenario quando l'input non attendibile escapato viene incluso come parte di una statement SQL eseguita dallo strumento interattivo.
La vulnerabilità è particolarmente preoccupante perché un attaccante che genera un'iniezione SQL tramite CVE-2025-1094 può ottenere l'esecuzione di codice arbitrarrio. Ciò è possibile grazie alla capacità dello strumento interattivo di eseguire comandi meta, identificati dal simbolo del punto esclamativo, che consentono l'esecuzione di un comando della shell del sistema operativo.
Tutte le versioni supportate precedenti a PostgreSQL 17.3, 16.7, 15.11, 14.16 e 13.19 sono interessate da CVE-2025-1094. Un attaccante può sfruttare questa vulnerabilità per eseguire il comando meta, controllando così il comando della shell del sistema operativo che viene eseguito.
Inoltre, un attaccante che sfrutta CVE-2025-1094 può anche eseguire statement SQL arbitrarri controllati dall'attaccante. Ciò potrebbe potenzialmente portare a una vasta gamma di attività maliziose, tra cui furto di dati, manipolazione e addirittura il completo takeover del sistema.
La vulnerabilità è stata scoperta durante le ricerche sull'esploit di CVE-2024-12356, una vulnerabilità di esecuzione del codice remoto non autenticata che colpisce BeyondTrust privileged remote access e BeyondTrust remote support. Tuttavia, è importante notare che la patch per CVE-2024-12356, rilasciata da BeyondTrust nel dicembre 2024, non ha risolto la causa radicale di CVE-2025-1094, che è rimasta una falla zero-day fino a quando Rapid7 non l'ha scoperta e segnalata a PostgreSQL.
Per correggere CVE-2025-1094, gli utenti di PostgreSQL sono invitati a aggiornare a PostgreSQL 17.3, 16.7, 15.11, 14.16 o 13.19. Per maggiori dettagli, gli utenti sono incoraggiati a fare riferimento all'avviso di PostgreSQL.
Rapid7 segue una rigorosa politica di divulgazione delle vulnerabilità e questa vulnerabilità è stata divulgata in conformità con tale politica. La persona che ha scoperto la vulnerabilità di iniezione SQL CVE-2025-1094 nello strumento interattivo di PostgreSQL è James Johnson.
In conclusione, CVE-2025-1094 rappresenta una minaccia significativa per gli utenti di PostgreSQL e
Leggi anche:
- La fondazione dell'industrializzazione in Europa può dipendere dall'elettricità
- Il voto di fiducia imminente l'8 settembre: esame delle sue potenziali conseguenze
- E' sicuro per una persona che soffre di demenza consumare hot dog?
- L'orologio misterioso Cartier di fascia alta si aspetta di vendere per oltre 6 milioni di dollari all'asta autunnale
