Scoperto da Rapid7: un importante difetto di SQL Injection con una grave minaccia
Rapid7, un noto fornitore di soluzioni di cybersecurity, ha recentemente scoperto una vulnerabilità di iniezione SQL di alta gravità, CVE-2025-1094, che colpisce lo strumento interattivo PostgreSQL psql.
Questa vulnerabilità deriva da un'ipotesi errata secondo cui quando l'input controllato dall'attaccante e non attendibile è stato correttamente escapato tramite le routine di escaping delle stringhe di PostgreSQL, non può essere sfruttato per generare un attacco di iniezione SQL di successo.
CVE-2025-1094 ha un punteggio base CVSS 3.1 di 8.1, classificandola come una vulnerabilità di alta gravità. Un attaccante che sfrutta questa vulnerabilità può generare un'iniezione SQL, potenzialmente consentendogli di eseguire statement SQL arbitrarî controllati dall'attaccante.
La vulnerabilità è dovuta a come le routine di escaping delle stringhe di PostgreSQL gestiscono i caratteri UTF-8 non validi, in combinazione con il modo in cui le sequenze di byte non valide all'interno dei caratteri UTF-8 non validi sono elaborate da psql.
Per correggere CVE-2025-1094, gli utenti di PostgreSQL sono invitati ad aggiornare a PostgreSQL 17.3, 16.7, 15.11, 14.16 o 13.19. L'iniezione SQL è ancora possibile in un determinato scenario quando l'input non attendibile escapato è incluso come parte di un statement SQL eseguito dallo strumento interattivo psql. Per ulteriori dettagli, gli utenti possono fare riferimento all'avviso di PostgreSQL.
La vulnerabilità è stata resa nota in conformità con la politica di divulgazione delle vulnerabilità di Rapid7. La scoperta è stata effettuata durante la ricerca sull'esploit di CVE-2024-12356, una vulnerabilità di esecuzione del codice remoto non autenticata che colpisce BeyondTrust privileged remote access e BeyondTrust remote support.
È importante notare che BeyondTrust ha corretto CVE-2024-12356 a dicembre 2024. Tuttavia, la correzione non ha risolto la causa radicale di CVE-2025-1094, che è rimasta una zero-day fino a quando Rapid7 non l'ha scoperta e segnalata a PostgreSQL.
Un attaccante che sfrutta CVE-2025-1094 può sfruttare la capacità dello strumento interattivo di eseguire i comandi meta, controllando così il comando della shell del sistema operativo che viene eseguito. Il comando meta, identificato dal simbolo del punto esclamativo, consente l'esecuzione di un comando della shell del sistema operativo.
Leggi anche:
- Espansione della presenza militare della Cina nella regione del Pacifico sudoccidentale e dell'Oceania
- Polk annuncia la sua partnership con il Lab 2.0 dopo la vendita di Upswing Poker a Club WPT Gold.
- Le principali nazioni africane progettano standard urbani puliti per il 2025
- Conoscere il bonsai di ginepro: modellare e mantenere una specie di albero senza tempo
