Los actores de amenaza que estaban detrás de la explotación de una vulnerabilidad de día cero en productos de golpe remoto privilegiado (PRA) y soporte remoto (RS) (RS) en diciembre de 2024 probablemente asimismo explotó una equivocación de inyección SQL previamente desconocida en Postgresql, según los hallazgos de Rapid7.
La vulnerabilidad, rastreada como CVE-2025-1094 (Puntuación CVSS: 8.1), afecta la útil interactiva PostgreSQL PSQL.
“Un atacante que puede crear una inyección SQL a través de CVE-2025-1094 puede obtener la ejecución de código arbitraria (ACE) aprovechando la capacidad de la útil interactiva para ejecutar meta-comandos”, dijo el investigador de seguridad Stephen menos.
La compañía de seguridad cibernética señaló encima que hizo el descubrimiento como parte de su investigación sobre CVE-2024-12356, una equivocación de seguridad recientemente parcheada en el software Beyondtrust que permite la ejecución de código remoto no autenticado.
Específicamente, encontró que “un exploit exitoso para CVE-2024-12356 tenía que incluir la explotación de CVE-2025-1094 para obtener la ejecución de código remoto”.
En una divulgación coordinada, los mantenedores de PostgreSQL publicaron una aggiornamento para acometer el problema en las siguientes versiones:
- PostgreSQL 17 (fijo en 17.3)
- PostgreSQL 16 (fijo en 16.7)
- PostgreSQL 15 (fijo en 15.11)
- PostgreSQL 14 (fijo en 14.16)
- PostgreSQL 13 (fijo en 13.19)
La vulnerabilidad se debe a cómo PostgreSQL maneja los caracteres no válidos de UTF-8, abriendo así la puerta a un tablado en el que un atacante podría explotar una inyección SQL haciendo uso de un comando de golpe directo “!”, Que permite la ejecución del comando de shell.
“Un atacante puede emplear CVE-2025-1094 para realizar este meta-comando, controlando así el comando de shell del sistema operante que se ejecuta”, dijo menos. “Alternativamente, un atacante que puede crear una inyección SQL a través de CVE-2025-1094 puede ejecutar declaraciones SQL controladas por atacantes arbitrarias”.
El crecimiento se produce cuando la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó una equivocación de seguridad que impacta el software de soporte remoto SimpleHelp (CVE-2024-57727, CVSS Score: 7.5) al catálogo de vulnerabilidades explotadas (KEV) conocidas, que requieren que las agencias federales apliquen aplicar aplicando Las soluciones para el 6 de marzo de 2025.
