仅供会员阅读
CVE-2025–1094:PostgreSQL注入漏洞利用
作者:Ajay Naik
阅读时间:2 分钟 · 发布于 2025年2月26日
概述
CVE-2025–1094 是一个影响多个 PostgreSQL 版本的高危 SQL 注入漏洞。该漏洞源于 PostgreSQL 转义函数中对引用语法处理不当,攻击者可利用此漏洞执行任意 SQL 命令。
受影响的 PostgreSQL 版本
- PostgreSQL 17 (v17.3 之前版本)
- PostgreSQL 16 (v16.7 之前版本)
- PostgreSQL 15 (v15.11 之前版本)
- PostgreSQL 14 (v14.16 之前版本)
- PostgreSQL 13 (v13.19 之前版本)
存在漏洞的函数
此漏洞存在于以下 PostgreSQL 转义函数中:
PQescapeLiteral()PQescapeIdentifier()PQescapeString()PQescapeStringConn()
这些函数用于对 SQL 查询中的用户输入进行清理(消毒)。然而,由于对某些字符编码的处理不当,攻击者可以绕过安全机制并执行 SQL 注入攻击。
漏洞利用前提条件
CSD0tFqvECLokhw9aBeRqopJDR93OU7WxHE+knUD6TObqpAJvtPQ7NQQI3Y0XCrc0FIL9t2y34BuYq6wLA4Oo2eFSUgQUODi2bh/G6jabQs0A/XP5Dpx246ySFMyze7kvkfaj3QNp5dZNYMZY1BMng==
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
)
