Neutralización inadecuada de elementos especiales en PostgreSQL
Las siguientes versiones de PostgreSQL están afectadas:
- 13;
- 14;
- 15;
- 16;
- 17.
Stephen Fewer ha reportado a PostgreSQL una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una inyección SQL en ciertos patrones de uso.
Se han identificado varias pruebas de concepto (PoC) y la vulnerabilidad podría estar siendo explotada.
PostgreSQL ha solucionado la vulnerabilidad en las siguientes versiones:
- 17.3.
- 16.7.
- 15.11.
- 14.16.
- 13.19.
La vulnerabilidad identificada no neutraliza la sintaxis de texto entrecomillado, citas, en libpq en las funciones PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() y PQescapeStringConn(). Esto podría permitir que una entrada en la base de datos logre una inyección SQL en ciertos patrones de uso.
Se ha asignado el identificador CVE-2025-1094 para esta vulnerabilidad.