当前位置: 首页 > ai >正文

【CVE-2025-1094】:PostgreSQL 14.15 SQL注入漏洞导致的RCE_ 利用代码和分析

ai 2025/5/9 3:56:28

目标

  • PostgreSQL 14.15
  • BeyondTrust Privileged Remote Access (PRA) 和 Remote Support (RS) 软件
  • 受影响的版本:使用PostgreSQL 14.15及其版本的BeyondTrust产品

Explain

CVE-2025-1094 是 PostgreSQL 14.15 版本的 psql 交互式工具中发现的 SQL 注入漏洞。由于输入值的验证不当,该漏洞允许攻击者执行任意命令,特别是与 BeyondTrust 的 Privileged Remote Access (PRA) 和 Remote Support (RS) 软件相关联,从而实现远程代码执行 (RCE) 攻击。

根本原因

在 psql 工具中,在没有适当验证用户输入的情况下执行的部分发生了漏洞。特别是,如果利用这个的话,元命令(!)和利用 COPY TO PROGRAM 功能可以执行 shell 命令。

该漏洞源于 PostgreSQL 的 psql 工具在处理无效 UTF-8 字符串时存在结构性缺陷。在 BeyondTrust 的 thin-scc-wrapper 脚本中,gskey 值通过 echo 命令传递给 dbquote 脚本,在此过程中,攻击者可插入伪装为 UTF

http://www.xdnf.cn/news/3458.html

相关文章:

  • React 语法扩展
  • 数字智慧方案5875丨智慧交通枢纽综合解决方案(43页PPT)(文末有下载方式)
  • 数据结构学习笔记
  • 4.5 使用busybox制作根文件系统
  • Kotlin 基础
  • GitHub 趋势日报 (2025年05月01日)
  • Google机器学习系列 - 监督学习
  • Flutter BottomNavigationBar 详解
  • 综合案例:使用vuex对购物车的商品数量和价格等公共数据进行状态管理
  • ARM 指令集(ubuntu环境学习)第七章:系列总结与未来展望
  • 【愚公系列】《Manus极简入门》012-自我认知顾问:“内在探索向导”
  • 数据结构与算法:图论——最短路径
  • LearningFlow:大语言模型城市驾驶的自动化策略学习工作流程
  • Golang 身份证号码校验
  • bilibili如何获取视频的分节的目录
  • 【安装指南】Chat2DB-集成了AI功能的数据库管理工具
  • Shell 脚本基础
  • RabbitMQ的交换机
  • 解决The‘InnoDB’feature is disabled; you need MySQL built with ‘InnoDB’ to have it
  • ARM架构详解:定义、应用及特点
  • 计算机组成原理实验(6) 微程序控制单元实验
  • 大模型开发学习笔记
  • 提示词版本化管理:AI开发中被忽视的关键环节
  • 【Linux】基础指令(2)
  • 冯·诺依曼体系:现代计算机的底层逻辑与百年传承
  • C++ 与 Lua 联合编程
  • Python-pandas-操作Excel文件(读取数据/写入数据)及Excel表格列名操作详细分享
  • 单链表操作(single list)
  • Python高级爬虫之JS逆向+安卓逆向1.7节: 面向对象
  • NY204美光闪存MT29F8T08EQLCHL5-QA:C