Vulnerabilità in PostgreSQL (AL01/250214/CSIRT-ITA)

Sintesi

PostgreSQL Global Development Group ha rilasciato aggiornamenti di sicurezza per risolvere 1 vulnerabilità con gravità “alta” in PostgreSQL.

Tale vulnerabilità potrebbe essere sfruttata da un utente malevolo per modificare le variabili d’ambiente del sistema target al fine di eseguire codice arbitrario.

Note: un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete.

Note: la vulnerabilità risulta essere sfruttata attivamente in rete.

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: Critico (77.05)

Tipologia

• Remote Code Execution

Prodotti e/o versioni affette

PostgreSQL

• 17.x, versioni precedenti alla 17.3
• 16.x, versioni precedenti alla 16.7
• 15.x, versioni precedenti alla 15.11
• 14.x, versioni precedenti alla 14.16
• 13.x, versioni precedenti alla 13.19

Azioni di mitigazione

Si consiglia di aggiornare i singoli prodotti seguendo le indicazioni riportate nel bollettino di sicurezza disponibile nella sezione Riferimenti.

Riferimenti

https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/

https://www.postgresql.org/support/security/CVE-2025-1094/

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.