Aralık 2024’teki BeyondTrust ayrıcalıklı uzaktan erişimde (PRA) ve uzaktan destek (RS) ürünlerinde sıfır gün güvenlik açığının sömürülmesinin arkasında olan tehdit aktörleri, Rapid7’nin bulgularına göre PostgRESQL’de daha önce bilinmeyen bir SQL enjeksiyon kusurunu da kullandı.
Güvenlik açığı, CVE-2025-1094 (CVSS puanı: 8.1), PostgreSQL etkileşimli aracı PSQL’yi etkiler.
Güvenlik araştırmacısı Stephen, “CVE-2025-1094 yoluyla SQL enjeksiyonu oluşturabilen bir saldırgan, etkileşimli aracın meta komutları çalıştırma yeteneğinden yararlanarak keyfi kod yürütme (ACE) elde edebilir.” söz konusu.
Siber güvenlik şirketi ayrıca, BeyondTrust yazılımında, kimliği doğrulanmamış uzaktan kod yürütmesine izin veren yakın zamanda yamalı bir güvenlik kusuru olan CVE-2024-12356 ile ilgili soruşturmasının bir parçası olarak keşfi yaptığını belirtti.
Özellikle, “CVE-2024-12356 için başarılı bir istismarın, uzaktan kod yürütülmesini sağlamak için CVE-2025-1094’ün sömürülmesini içermesi gerektiğini” buldu.
Koordineli bir açıklamada, PostgreSQL’in korunanları piyasaya sürülmüş Aşağıdaki sürümlerde sorunu ele almak için bir güncelleme –
- Postgresql 17 (17.3’te sabitlenmiş)
- Postgresql 16 (16.7’de sabit)
- Postgresql 15 (15.11’de sabit)
- Postgresql 14 (14.16’da sabit)
- PostgreSQL 13 (13.19’da sabit)
Güvenlik açığı, PostgreSQL’in geçersiz UTF-8 karakterlerini nasıl işlediğinden kaynaklanır, böylece bir saldırganın bir SQL enjeksiyonundan yararlanabileceği bir senaryoya kapıyı açar. kısayol komutu “!”kabuk komutunun yürütülmesini sağlar.
“Bir saldırgan, bu meta komutu gerçekleştirmek için CVE-2025-1094’ten yararlanabilir, böylece yürütülen işletim sistemi kabuğu komutunu kontrol edebilir.” Dedi. “Alternatif olarak, CVE-2025-1094 aracılığıyla SQL enjeksiyonu oluşturabilen bir saldırgan, keyfi saldırgan kontrollü SQL ifadeleri yürütebilir.”
Geliştirme, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) olarak geliyor eklemek SimpleHelp uzaktan destek yazılımını etkileyen bir güvenlik kusuru (CVE-2024-57727, CVSS Puan: 7.5) bilinen sömürülen güvenlik açıklarına (7.5) (7.5)Kev) katalog, federal ajansların düzeltmeleri 6 Mart 2025’e kadar uygulamasını isteyen.
