Origine : bjCSIRT
Numéro : 2025/ALERTE/015
Date de l’alerte : 19/02/2025
APERÇU :
Une vulnérabilité dans PostgreSQL permettrait à un acteur malveillant d’injecter des commandes SQL afin d’accéder à des données sensibles.
DESCRIPTION :
PostgreSQL est un système de gestion de bases de données relationnelles open source qui utilise SQL pour manipuler des données.
Ce système est affecté par une vulnérabilité libellée CVE-2025-1094 qui permettrait à un acteur malveillant d’injecter du code SQL et d’interagir avec la base de données. Cette vulnérabilité est due à une gestion incorrecte des caractères spéciaux dans certaines fonctions de la bibliothèque libpq telles que PQescapeLiteral(), PQescapeIdentifier(), PQescapeString(), PQescapeStringConn(). Ces fonctions, censées sécuriser les entrées utilisateur, échouent à empêcher l’injection SQL lorsqu’elles sont utilisées dans psql, l’outil interactif de PostgreSQL. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant d’exécuter des commandes système via psql compromettant la sécurité du serveur.
Cette vulnérabilité est classée élevée avec un score de sévérité de 8.1 selon le CVSS v3.1.
IMPACT :
- Exécution de code arbitraire ;
- Atteinte à la confidentialité des données ;
- Atteinte à l’intégrité des données.
SYSTÈMES AFFECTÉS :
- PostgreSQL versions 13.x antérieures à 13.19;
- PostgreSQL versions 14.x antérieures à 14.16;
- PostgreSQL versions 14.x antérieures à 15.11;
- PostgreSQL versions 16.x antérieures à 16.7;
- PostgreSQL versions 17.x antérieures à 17.3.
MESURES À PRENDRE :
Mettre à jour PostgreSQL vers les versions 13.19 ,14.16, 15.11 ,16.7 17.3 ou ultérieures.
RÉFÉRENCES :
