Síntesis
El Grupo de Desarrollo Global de PostgreSQL ha publicado actualizaciones de seguridad para abordar una vulnerabilidad de gravedad “alta” en PostgreSQL.
Esta vulnerabilidad podría ser explotada por un usuario malintencionado para modificar las variables de entorno del sistema de destino con el fin de ejecutar código arbitrario.
Nota: Un Proof of Concept (PoC) para explotar la vulnerabilidad está disponible en línea.
Nota: La vulnerabilidad parece ser explotada activamente en línea.
Riesgo
Impacto estimado de la vulnerabilidad en la comunidad objetivo: Crítico (77,05)
Tipología
- Remote Code Execution
Productos y/o versiones afectados
PostgreSQL
- 17.x, versiones anteriores a 17.3
- 16.x, versiones anteriores a 16.7
- 15.x, versiones anteriores a 15.11
- 14.x, versiones anteriores a 14.16
- 13.x, versiones anteriores a 13.19
Acciones de mitigación
Se recomienda que actualice los productos individuales siguiendo las instrucciones del boletín de seguridad disponible en la sección Referencias.
Referencias
https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/
https://www.postgresql.org/support/security/CVE-2025-1094/
1Esta estimación se realiza teniendo en cuenta varios parámetros, entre ellos: CVSS, disponibilidad de patch/workaround y PoC, difusión del software/dispositivos afectados en la comunidad de referencia.
