PostgreSQL opravuje 3 zranitelnosti

Připadá Vám tento report dobře zpracovaný? *

Ano

Používáte tuto technologii? *

Ano

Byl pro Vás tento report užitečný?

Ano

Budeme rádi, pokud se rozepíšete:

Bezpečnostní služby poskytované organizací CESNET jsou navrženy jako významná podpora při zajišťování kybernetické bezpečnosti připojených organizací. Přestože usilujeme o poskytování kvalitních a spolehlivých služeb, není možné garantovat absolutní pokrytí všech bezpečnostních zranitelností. Naše služby by měly být vnímány jako doplněk k vlastnímu bezpečnostnímu řízení organizací, nikoli jako jeho náhrada. Klient nese konečnou odpovědnost za zabezpečení svého prostředí.

[TLP:CLEAR] PostgreSQL opravuje 3 zranitelnosti

PostgreSQL verzemi 17.6, 16.10, 15.14, 14.19, 13.22 a 18 Beta 3 opravuje 3 zranitelnosti [1].

PostgreSQL - arbitrary code execution (CVE-2025-8714) CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi, který je superuživatelem zdrojového serveru, je kvůli nezabezpečenému zpracování nedůvěryhodných dat v pg_dump v PostgreSQL umožněno vložit a při obnově vykonat libovolný kód pod účtem systému, který provádí psql restore [1].

Zranitelnost se nachází v produktu PostgreSQL ve verzích (>=17.0 AND <17.6) OR (>=16.0 AND <16.10) OR (>=15.0 AND <15.14) OR (>=14.0 AND <14.19) OR (>=13.0 AND <13.22).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

CVE-2025-8714 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-829: Inclusion of Functionality from Untrusted Control Sphere at cwe.mitre.org

Zranitelnost byla veřejně oznámena 14. 8. 2025.

PostgreSQL - arbitrary code execution (CVE-2025-8715) CVSS 8.8 (High)

Neautentizovanému vzdálenému útočníkovi je kvůli nesprávné neutralizaci znaků nového řádku v pg_dump v PostgreSQL umožněno vložit a při obnově vykonat libovolný kód pod účtem systému, který provádí psql restore, případně provést SQL injekci jako superuživatel cílového serveru [1].

Zranitelnost se nachází v produktu PostgreSQL ve verzích (>=17.0 AND <17.6) OR (>=16.0 AND <16.10) OR (>=15.0 AND <15.14) OR (>=14.0 AND <14.19) OR (>=13.0 AND <13.22).

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Více informací:

CVE-2025-8715 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-93: Improper Neutralization of CRLF Sequences ('CRLF Injection') at cwe.mitre.org

Zranitelnost byla veřejně oznámena 14. 8. 2025.

PostgreSQL - statistics data exposure (CVE-2025-8713) CVSS 3.1 (Low)

Autentizovanému vzdálenému útočníkovi je kvůli nedostatečné ochraně optimalizačních statistik v PostgreSQL umožněno číst vzorkovaná data i z tabulek chráněných přístupovými právy nebo zásadami řádkového zabezpečení [1].

Zranitelnost se nachází v produktu PostgreSQL ve verzích (>=17.0 AND <17.6) OR (>=16.0 AND <16.10) OR (>=15.0 AND <15.14) OR (>=14.0 AND <14.19) OR (>=13.0 AND <13.22).

CVSS: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:N/A:N

Více informací:

CVE-2025-8713 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
CWE-1230: Exposure of Sensitive Information Through Metadata at cwe.mitre.org

Zranitelnost byla veřejně oznámena 14. 8. 2025.

Odkazy

[1] https://www.postgresql.org/about/news/postgresql-176-1610-1514-1419-1322-and-18-beta-3-released-3118/

Za CESNET-CERTS Michaela Jarošová dne 2. 9. 2025.

Zpětná vazba k reportu

[TLP:CLEAR] PostgreSQL opravuje 3 zranitelnosti

PostgreSQL - arbitrary code execution (CVE-2025-8714) CVSS 8.8 (High)

PostgreSQL - arbitrary code execution (CVE-2025-8715) CVSS 8.8 (High)

PostgreSQL - statistics data exposure (CVE-2025-8713) CVSS 3.1 (Low)

Odkazy