Los actores de amenaza que estaban detr\u00e1s de la explotaci\u00f3n de una vulnerabilidad de d\u00eda cero en productos de acceso remoto privilegiado (PRA) y soporte remoto (RS) (RS) en diciembre de 2024 probablemente tambi\u00e9n explot\u00f3 una falla de inyecci\u00f3n SQL previamente desconocida en Postgresql, seg\u00fan los hallazgos de Rapid7.<\/p>\n
La vulnerabilidad, rastreada como CVE-2025-1094<\/a><\/strong> (Puntuaci\u00f3n CVSS: 8.1), afecta la herramienta interactiva PostgreSQL PSQL.<\/p>\n “Un atacante que puede generar una inyecci\u00f3n SQL a trav\u00e9s de CVE-2025-1094 puede lograr la ejecuci\u00f3n de c\u00f3digo arbitraria (ACE) aprovechando la capacidad de la herramienta interactiva para ejecutar meta-comandos”, el investigador de seguridad Stephen menos dicho<\/a>.<\/p>\n La compa\u00f1\u00eda de seguridad cibern\u00e9tica se\u00f1al\u00f3 adem\u00e1s que hizo el descubrimiento como parte de su investigaci\u00f3n sobre CVE-2024-12356, una falla de seguridad recientemente parcheada en el software Beyondtrust que permite la ejecuci\u00f3n de c\u00f3digo remoto no autenticado.<\/p>\n Espec\u00edficamente, encontr\u00f3 que “un exploit exitoso para CVE-2024-12356 ten\u00eda que incluir la explotaci\u00f3n de CVE-2025-1094 para lograr la ejecuci\u00f3n de c\u00f3digo remoto”.<\/p>\n En una divulgaci\u00f3n coordinada, los mantenedores de PostgreSQL liberado<\/a> una actualizaci\u00f3n para abordar el problema en las siguientes versiones –<\/p>\n La vulnerabilidad proviene de c\u00f3mo PostgreSQL maneja los caracteres UTF-8 no v\u00e1lidos, abriendo as\u00ed la puerta a un escenario en el que un atacante podr\u00eda explotar una inyecci\u00f3n SQL haciendo uso de un Comando atajo “!”<\/a>que habilita la ejecuci\u00f3n del comando de shell. <\/p>\n “Un atacante puede aprovechar CVE-2025-1094 para realizar este meta-comando, controlando as\u00ed el comando de shell del sistema operativo que se ejecuta”, dijo menos. “Alternativamente, un atacante que puede generar una inyecci\u00f3n SQL a trav\u00e9s de CVE-2025-1094 puede ejecutar declaraciones SQL controladas por atacantes arbitrarias”.<\/p>\n El desarrollo se produce como la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) agregado<\/a> Una falla de seguridad que impacta el software de soporte remoto SimpleHelp (CVE-2024-57727, puntaje CVSS: 7.5) a las vulnerabilidades explotadas conocidas (Kev<\/a>) Cat\u00e1logo, que requiere que las agencias federales apliquen las soluciones antes del 6 de marzo de 2025.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Vulnerabilidad-PostgreSQL-explotada-junto-con-el-dia-cero-de-Beyondtrust.png\")
<\/a><\/center><\/div>\n\n
<\/a><\/center><\/div>\n