CVE-2025-1094: Kritische Schwachstelle in PostgreSQL

Beschreibung

CVE-2025-1094 ist eine schwerwiegende SQL-Injection-Schwachstelle im PostgreSQL-Tool psql, die es Angreifern ermöglicht, beliebigen Code auszuführen. Sie wurde von Stephen Fewer von Rapid7 entdeckt und am 13. Februar 2025 veröffentlicht. Die Schwachstelle hat einen CVSS 3.1 Basis-Score von 8,1 (hoch) und betrifft PostgreSQL-Versionen vor 17.3, 16.7, 15.11, 14.16 und 13.19.

Ursache

Die Schwachstelle entsteht durch eine fehlerhafte Verarbeitung ungültiger UTF-8-Zeichen in den PostgreSQL-Funktionen PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() und PQescapeStringConn(). Angreifer können durch speziell gestaltete Eingaben, die den „!“-Kurzbefehl nutzen, SQL-Injection-Angriffe durchführen, um Shell-Befehle oder beliebige SQL-Anweisungen auszuführen. Dies kann zur Kontrolle des Systems oder zum Zugriff auf sensible Daten führen.

Auswirkungen

Betroffene Versionen

Abhilfemaßnahmen

  1. Upgrade auf gepatchte Versionen: Aktualisieren Sie auf PostgreSQL 17.3, 16.7, 15.11, 14.16 oder 13.19. Beachten Sie, dass die erste Korrektur (13. Februar 2025) einen Regressionsfehler enthielt, der in Versionen 17.4, 16.8, 15.12, 14.17 und 13.20 behoben wurde.
  2. Eingabevalidierung: Überprüfen Sie Eingaben auf gültige UTF-8-Codierung, bevor sie an psql weitergeleitet werden.
  3. Zugriffsbeschränkung: Schränken Sie den Zugriff auf das psql-Tool auf vertrauenswürdige Benutzer ein.
  4. Parametrisierte Abfragen: Verwenden Sie parametrisierte Abfragen oder ORM-Frameworks, um direkte psql-Nutzung zu minimieren.
  5. Log-Überwachung: Überwachen Sie Protokolle auf ungewöhnliche Aktivitäten, um potenzielle Angriffe frühzeitig zu erkennen.
CVE-2025-1094: SQL Injection to RCE via WebSocket