Synthèse
PostgreSQL Global Development Group a publié des mises à jour de sécurité pour corriger une vulnérabilité de gravité « élevée » dans PostgreSQL.
Cette vulnérabilité pourrait être exploitée par un utilisateur malveillant pour modifier les variables d’environnement du système cible afin d’exécuter du code arbitraire.
Remarque : un Proof of Concept (PoC) pour l’exploitation de la vulnérabilité est disponible en ligne.
Remarque : la vulnérabilité semble être activement exploitée en ligne.
Risque
Impact estimé de la vulnérabilité sur la communauté cible : critique (77,05)
Typologie
- Remote Code Execution
Produits et/ou versions concernés
PostgreSQL
- 17.x, versions antérieures à 17.3
- 16.x, versions antérieures à 16.7
- 15.x, versions antérieures à 15.11
- 14.x, versions antérieures à 14.16
- 13.x, versions antérieures à 13.19
Mesures d’atténuation
Il est recommandé de mettre à jour les produits individuels en suivant les instructions du bulletin de sécurité disponible dans la section Références.
Références
https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/
https://www.postgresql.org/support/security/CVE-2025-1094/
1Cette estimation est réalisée en prenant en compte plusieurs paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils affectés dans la communauté de référence.
