BDU:2025-01601
Оценки
EPSS
Процентиль: 0.0%
CVSS
Оценка CVSS: 9.8/10
Все оценки CVSS
Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Требуемые привилегии
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Взаимодействие с пользователем
Отсутствует (N)
Отражает требование участия человека в атаке
Область воздействия
Неизменная (U)
Определяет, влияет ли успешная атака на компоненты за пределами уязвимого компонента
Воздействие на конфиденциальность
Высокое (H)
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Высокое (H)
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Высокое (H)
Измеряет воздействие на доступность затронутого компонента
Вектор: AV:N/AC:L/Au:N/C:C/I:C/A:C
Разбор вектора
CVSS (Common Vulnerability Scoring System) вектор предоставляет детальные метрики о характеристиках уязвимости
CVSS
Вектор атаки
Сеть (N)
Описывает способ эксплуатации уязвимости
Сложность атаки
Низкая (L)
Описывает условия, не зависящие от атакующего
Аутентификация
Отсутствуют (N)
Описывает уровень привилегий, которыми должен обладать атакующий
Воздействие на конфиденциальность
Complete
Измеряет воздействие на конфиденциальность информации
Воздействие на целостность
Complete
Измеряет воздействие на целостность при успешной эксплуатации уязвимости
Воздействие на доступность
Complete
Измеряет воздействие на доступность затронутого компонента
Описание
Уязвимость функций PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() и PQescapeStringConn() библиотеки libpq системы управления базами данных PostgreSQL связана с непринятием мер по защите структуры запроса SQL. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Сканер-ВС 7 — современное решение для управления уязвимостями
Источники
Связанные уязвимости
Эксплойты
Справочные ссылки
Рекомендации
Источник: bdu
Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- использование средств межсетевого экранирования для ограничения удаленного доступа к уязвимому программному средству;
- использование «белого» списка IP-адресов для ограничения доступа к уязвимому программному средству;
- использование SIEM-систем для отслеживания попыток эксплуатации уязвимости;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для отслеживания попыток эксплуатации уязвимости.
Использование рекомендаций производителя:
https://www.postgresql.org/support/security/CVE-2025-1094/
Для РЕД ОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-postgresql16-cve-2025-109450548492/?sphrase_id=806649
Для СУБД «Tantor»: обновление программного обеспечения, применение оперативного обновления СУБД «Tantor» 15.10.3, предоставляемого в личном кабинете пользователя https://lk-new.astralinux.ru/ (https://wiki.astralinux.ru/x/ziLoD)
Для СУБД «Platform V Pangolin DB»: обновление программного обеспечения до версии 6.4.2_cve0 или выше
Для ОС Astra Linux:
обновить пакет postgresql-15 до 15.12-astra.se1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se18-bulletin-2025-0411SE18
Для ОС Astra Linux:
обновить пакет postgresql-11 до 1:11.22-astra.se5.4 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-0422SE47
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2828
Для программной системы управления средой виртуализации с подсистемой безагентного резервного копирования виртуальных машин «ROSA Virtualization 3.0»: https://abf.rosa.ru/advisories/ROSA-SA-2025-2827
Для ОС РОСА “КОБАЛЬТ”:
https://abf.rosa.ru/advisories/ROSA-SA-2025-2787
https://abf.rosa.ru/advisories/ROSA-SA-2025-3037
https://abf.rosa.ru/advisories/ROSA-SA-2025-3036
Обновление программного обеспечения postgresql-15 до версии 15.14+repack1-1osnova1
Для МСВСфера: https://errata.msvsphere-os.ru/definition/9/INFCSA-2025:1738?lang=ru
Уязвимое ПО (108)
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: astra 1.7
{ "version_end_excluding": "14.17.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: astra 1.7
{ "version_end_excluding": "15.12.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: astra 1.7
{ "version_end_excluding": "16.8.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: astra 1.7
{ "version_end_excluding": "17.4.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: astra 1.8
{ "version_end_excluding": "14.17.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: astra 1.8
{ "version_end_excluding": "15.12.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: astra 1.8
{ "version_end_excluding": "16.8.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: astra 1.8
{ "version_end_excluding": "17.4.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: rosa virtualization 3.0 3.0
{ "version_end_excluding": "14.17.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: rosa virtualization 3.0 3.0
{ "version_end_excluding": "15.12.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: rosa virtualization 3.0 3.0
{ "version_end_excluding": "16.8.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: rosa virtualization 3.0 3.0
{ "version_end_excluding": "17.4.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: мсвсфера 9.5
{ "version_end_excluding": "14.17.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: мсвсфера 9.5
{ "version_end_excluding": "15.12.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: мсвсфера 9.5
{ "version_end_excluding": "16.8.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: мсвсфера 9.5
{ "version_end_excluding": "17.4.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: redos 7.3
{ "version_end_excluding": "14.17.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: redos 7.3
{ "version_end_excluding": "15.12.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: redos 7.3
{ "version_end_excluding": "16.8.1"}
Источник: bdu
Тип: Конфигурация
Поставщик: postgres professional
Продукт: postgres pro certified
Операционная система: redos 7.3
{ "version_end_excluding": "17.4.1"}
Источник: bdu