Aktor-aktor ancaman yang berada di belakang eksploitasi kerentanan nol-hari di produk-produk jarak jauh yang tidak memiliki hak istimewa (PRA) dan produk-produk Dukungan Jauh (RS) pada bulan Desember 2024 kemungkinan juga mengeksploitasi cacat injeksi SQL yang sebelumnya tidak diketahui di Postgresql, menurut temuan dari Rapid7.
Kerentanan, dilacak sebagai CVE-2025-1094 (Skor CVSS: 8.1), mempengaruhi alat interaktif postgresql PSQL.
“Seorang penyerang yang dapat menghasilkan injeksi SQL melalui CVE-2025-1094 kemudian dapat mencapai eksekusi kode sewenang-wenang (ACE) dengan memanfaatkan kemampuan alat interaktif untuk menjalankan meta-commands,” kata peneliti keamanan Stephen lebih sedikit.
Perusahaan cybersecurity lebih lanjut mencatat bahwa mereka membuat penemuan sebagai bagian dari penyelidikannya terhadap CVE-2024-12356, cacat keamanan yang baru-baru ini ditambal di luar perangkat lunak yang memungkinkan untuk pelaksanaan kode jarak jauh yang tidak diautentikasi.
Secara khusus, ditemukan bahwa “eksploitasi yang berhasil untuk CVE-2024-12356 harus menyertakan eksploitasi CVE-2025-1094 untuk mencapai eksekusi kode jarak jauh.”
Dalam pengungkapan yang terkoordinasi, pengelola PostgreSQL merilis pembaruan untuk mengatasi masalah dalam versi berikut –
- PostgreSQL 17 (ditetapkan dalam 17.3)
- PostgreSQL 16 (ditetapkan dalam 16.7)
- PostgreSQL 15 (ditetapkan dalam 15.11)
- PostgreSQL 14 (ditetapkan dalam 14.16)
- PostgreSQL 13 (ditetapkan dalam 13.19)
Kerentanan berasal dari bagaimana PostgreSQL menangani karakter UTF-8 yang tidak valid, sehingga membuka pintu ke skenario di mana penyerang dapat mengeksploitasi injeksi SQL dengan memanfaatkan perintah pintas “\!”, Yang memungkinkan eksekusi perintah shell.
“Seorang penyerang dapat memanfaatkan CVE-2025-1094 untuk melakukan meta-command ini, sehingga mengendalikan perintah shell sistem operasi yang dieksekusi,” kata lebih sedikit. “Atau, penyerang yang dapat menghasilkan injeksi SQL melalui CVE-2025-1094 dapat mengeksekusi pernyataan SQL yang dikendalikan oleh penyerang sewenang-wenang.”
Perkembangan ini terjadi ketika Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA) menambahkan cacat keamanan yang berdampak pada perangkat lunak dukungan jarak jauh SimpleHelp (CVE-2024-57727, skor CVSS: 7,5) ke katalog kerentanan yang diketahui (KEV), yang mewajibkan agen federal untuk diterapkan Perbaikan pada 6 Maret 2025.
