Neutralización inadecuada de elementos especiales en PostgreSQL
Las siguientes versiones de PostgreSQL están afectadas:
- 13;
- 14;
- 15;
- 16;
- 17.
Stephen Fewer ha reportado a PostgreSQL una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una inyección SQL en ciertos patrones de uso.
Se han identificado varias pruebas de concepto (PoC) y la vulnerabilidad podría estar siendo explotada.
PostgreSQL ha solucionado la vulnerabilidad en las siguientes versiones:
- 17.3.
- 16.7.
- 15.11.
- 14.16.
- 13.19.
La vulnerabilidad identificada no neutraliza la sintaxis de texto entrecomillado, citas, en libpq en las funciones PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() y PQescapeStringConn(). Esto podría permitir que una entrada en la base de datos logre una inyección SQL en ciertos patrones de uso.
Se ha asignado el identificador CVE-2025-1094 para esta vulnerabilidad.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.