Investigaciones recientes de Rapid7 revelan que los actores de amenazas que explotaron una vulnerabilidad de Zero Day en BeyondTrust Privileged Remote Access (PRA) y Remote Support (RS) en diciembre de 2024 también aprovecharon una falla de inyección SQL previamente desconocida en PostgreSQL.
- CVE-2025-1094 (CVSS 8.1): es una falla de inyección SQL que afecta a PostgreSQL, específicamente a las funciones de la biblioteca libpq como PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() y PQescapeStringConn(). Esta vulnerabilidad se origina debido a una neutralización inadecuada de la sintaxis de comillas cuando se manejan caracteres UTF-8 no válidos. Para que la inyección SQL sea posible, la aplicación debe utilizar el resultado de estas funciones para construir entradas que se envían a psql, la terminal interactiva de PostgreSQL.
Esta vulnerabilidad afecta a las siguientes versiones de PostgreSQL:
| Versión Afectada | Solución |
| PostgreSQL 17 antes de la 17.3 | Actualizar a la versión 17.3 o superior |
| PostgreSQL 16 antes de la 16.7 | Actualizar a la versión 16.7 o superior |
| PostgreSQL 15 antes de la 15.11 | Actualizar a la versión 15.11 o superior |
| PostgreSQL 14 antes de la 14.16 | Actualizar a la versión 14.16 o superior |
| PostgreSQL desde la versión 0 hasta antes de la 13.19 | Actualizar a la versión 13.19 o superior |
Recomendaciones:
- Actualizar PostgreSQL a las versiones corregidas disponibles.
- Revisar y aplicar controles de seguridad adicionales en entornos que utilicen PostgreSQL, como la validación estricta de entradas y el monitoreo de actividades sospechosas.
- Implementar medidas de protección contra inyecciones SQL, como el uso de consultas parametrizadas y la limitación de permisos de ejecución en la base de datos.
Referencias: