仅供会员阅读

CVE-2025–1094：PostgreSQL注入漏洞利用

作者：Ajay Naik
阅读时间：2 分钟 · 发布于 2025年2月26日

概述
CVE-2025–1094 是一个影响多个 PostgreSQL 版本的高危 SQL 注入漏洞。该漏洞源于 PostgreSQL 转义函数中对引用语法处理不当，攻击者可利用此漏洞执行任意 SQL 命令。

受影响的 PostgreSQL 版本

• PostgreSQL 17 (v17.3 之前版本)
• PostgreSQL 16 (v16.7 之前版本)
• PostgreSQL 15 (v15.11 之前版本)
• PostgreSQL 14 (v14.16 之前版本)
• PostgreSQL 13 (v13.19 之前版本)

存在漏洞的函数
此漏洞存在于以下 PostgreSQL 转义函数中：

• PQescapeLiteral()
• PQescapeIdentifier()
• PQescapeString()
• PQescapeStringConn()

这些函数用于对 SQL 查询中的用户输入进行清理（消毒）。然而，由于对某些字符编码的处理不当，攻击者可以绕过安全机制并执行 SQL 注入攻击。

漏洞利用前提条件
CSD0tFqvECLokhw9aBeRqopJDR93OU7WxHE+knUD6TObqpAJvtPQ7NQQI3Y0XCrc0FIL9t2y34BuYq6wLA4Oo2eFSUgQUODi2bh/G6jabQs0A/XP5Dpx246ySFMyze7kvkfaj3QNp5dZNYMZY1BMng==
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）