专栏名称: 绿盟科技CERT

绿盟科技CERT针对高危漏洞与安全事件进行快速响应，提供可落地的解决方案，协助用户提升应对威胁的能力。

目录

相关文章推荐

英文悦读 · 推荐一本经典英文有声书：了不起的盖茨比 · 2 天前

英文悦读 · “吃饭坐小孩那桌”，英语里面还真有对应翻译 · 昨天

恶魔奶爸 · 不要心存幻想，相亲市场不可能存在优质男！ · 昨天

恶魔奶爸 · 为什么越是长相普通的女生，嫁得越好？ · 2 天前

BetterRead · 超级学霸的时间魔法：竞赛生高效秘籍 · 2 天前

51好读 › 专栏 › 绿盟科技CERT

【漏洞通告】PostgreSQL SQL注入漏洞（CVE-2025-1094）

绿盟科技CERT · 公众号 · · 2025-02-20 18:27

正文

通告编号:NS-2025-0009

2025-02-20

TA G：	PostgreSQL、SQL注入、CVE-2025-1094
漏洞危害：	攻击者利用此漏洞，可实现SQL注入。
版本：	1.0

1

漏洞概述

近日，绿盟科技CERT监测到PostgreSQL发布安全公告，修复了PostgreSQL SQL注入漏洞（CVE-2025-1094），CVSS评分8.1；由于PostgreSQL的psql工具对无效UTF-8字符（例如 hax\xC0'; \! id #）的处理缺陷，导致SQL语句被意外分割，未经身份验证的攻击者可通过构造特制的输入实现SQL注入，从而利用PostgreSQL交互式终端psql来执行任意代码。目前漏洞细节与PoC已公开，且发现在野利用，请相关用户尽快采取措施进行防护。

PostgreSQL是一款功能强大、灵活可定制的开源关系型数据库管理系统（RDBMS），支持Windows、Linux、UNIX、Mac OS X、BSD等多种操作系统。

参考链接：

https://www.postgresql.org/support/security/CVE-2025-1094

SEE MORE →

2 影响范围

受影响版本

17 <= PostgreSQL
16 <= PostgreSQL
15 <= PostgreSQL
14 <= PostgreSQL
13 <= PostgreSQL

不受影响版本

PostgreSQL >= 17.3
PostgreSQL >= 16.7
PostgreSQL >= 15.11
PostgreSQL >= 14.16
PostgreSQL >= 13.19

3 漏洞检测

3.1 版本检测

相关用户可以通过下列命令查看当前使用的PostgreSQL版本是否在影响范围：

SQL查询：

4 暴露面资产排查

绿盟科技自动化渗透测试工具（EZ）支持PostgreSQL的服务识别，可直接使用web模块进行扫描检测。

工具下载链接：https://github.com/m-sec-org/EZ/releases

新用户请注册M-SEC社区（https://msec.nsfocus.com）申请证书进行使用：

5 漏洞防护

5.1 官方升级

目前官方已发布新版本修复此漏洞，请受影响的用户尽快升级防护，下载链接：https://www.postgresql.org/download

5.2 临时防护措施

若相关用户暂时无法进行升级操作，可使用下列措施进行临时缓解：

1、验证UTF-8编码：在传递给psql之前清理包含无效UTF-8序列的输入；

2、避免动态SQL：使用参数化查询或ORM框架来最大限度地减少对原始输入的直接psql使用；

请到「今天看啥」查看全文

推荐文章

英文悦读 · 推荐一本经典英文有声书：了不起的盖茨比

2 天前

英文悦读 · “吃饭坐小孩那桌”，英语里面还真有对应翻译

昨天

恶魔奶爸 · 不要心存幻想，相亲市场不可能存在优质男！

昨天

恶魔奶爸 · 为什么越是长相普通的女生，嫁得越好？

2 天前

BetterRead · 超级学霸的时间魔法：竞赛生高效秘籍

2 天前

肌肉训练营 · 当亚洲面孔配上欧美般的肌肉，这个21岁男生究竟有多帅？

8 年前

百姓关注 · 不合法很危险！这种车千万别买了接下来或将严查！

8 年前

iWeekly周末画报 · 捉歪小分队来到迪士尼：《美女与野兽》只是歪果仁的回忆杀？

7 年前

学习小组 · 平天下 | 习近平引用的古典名句（14）

7 年前

基层麻醉网 · 麻醉医生必须掌握的肺部听诊技巧

7 年前

Sov5搜索 · 小百科 · 今天看啥 · 移动版

51好读 - 好文章就要读起来!