Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Neutralización inadecuada de elementos especiales en PostgreSQL

Fecha de publicación 18/02/2025
Identificador
INCIBE-2025-0093
Importancia
4 - Alta
Recursos Afectados

Las siguientes versiones de PostgreSQL están afectadas:

  • 13;
  • 14;
  • 15;
  • 16;
  • 17.
Descripción

Stephen Fewer ha reportado a PostgreSQL una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante llevar a cabo una inyección SQL en ciertos patrones de uso.

Se han identificado varias pruebas de concepto (PoC) y la vulnerabilidad podría estar siendo explotada.

Solución

PostgreSQL ha solucionado la vulnerabilidad en las siguientes versiones:

  • 17.3.
  • 16.7.
  • 15.11.
  • 14.16.
  • 13.19.
Detalle

La vulnerabilidad identificada no neutraliza la sintaxis de texto entrecomillado, citas, en libpq en las funciones PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() y PQescapeStringConn(). Esto podría permitir que una entrada en la base de datos logre una inyección SQL en ciertos patrones de uso.

Se ha asignado el identificador CVE-2025-1094 para esta vulnerabilidad.

Listado de referencias
CVE-2025-1094 - PostgreSQL quoting APIs miss neutralizing quoting syntax in text that fails encoding validation
Etiquetas