Rapid7は2月13日(米国時間)、「CVE-2025-1094: PostgreSQL psql SQL injection (FIXED)|Rapid7 Blog」において、RDMBS(Relational Database Management System)の「PostgreSQL」からゼロデイの脆弱性を発見したと報じた。

  • CVE-2025-1094: PostgreSQL psql SQL injection (FIXED)|Rapid7 Blog

    CVE-2025-1094: PostgreSQL psql SQL injection (FIXED)|Rapid7 Blog

BeyondTrust製品の脆弱性との関係

2024年12月、BeyondTrustは自社製品の「Privileged Remote Access」および「Remote Support」の脆弱性「CVE-2024-12356」を修正し、脆弱性の主要な構成要素となるPostgreSQLの脆弱性にも対処した。しかしながら、PostgreSQLの脆弱性自体は修正されていなかった。

Rapid7はCVE-2024-12356の調査中にこの問題を発見しPostgreSQLに報告した。BeyondTrustによる脆弱性の公開から、PostgreSQLの修正リリースまでの約3か月間、CVE-2025-1094はゼロデイの脆弱性だったとされる。

なお、BeyondTrustは2024年12月に確認されたインシデントにおいて、CVE-2024-12356が悪用されたことを確認している(参考:「BeyondTrust Remote Support SaaS Service Security… | BeyondTrust」)。そのため、CVE-2025-1094も実質的に悪用されたとみられている。

脆弱性の情報

脆弱性に関する情報は次のページにまとまっている。

脆弱性の情報(CVE)は次のとおり。

  • CVE-2025-1094 - PostgreSQLのlibpqにSQLインジェクションの脆弱性(CVSSスコア: 8.1)
  • CVE-2024-12356 - BeyondTrustの「Privileged Remote Access」および「Remote Support」にコマンドで使用される特殊要素の不適切な無害化の脆弱性。認証されていないリモートの攻撃者は、サイトユーザーとして任意のコマンドを実行できる可能性がある(CVSSスコア: 9.8)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり(BeyondTrust製品は除く)。

  • PostgreSQL 17.3よりも前のバージョン
  • PostgreSQL 16.7よりも前のバージョン
  • PostgreSQL 15.11よりも前のバージョン
  • PostgreSQL 14.16よりも前のバージョン
  • PostgreSQL 13.19よりも前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • PostgreSQL 17.3
  • PostgreSQL 16.7
  • PostgreSQL 15.11
  • PostgreSQL 14.16
  • PostgreSQL 13.19

対策

Rapid7は同社がオープンソースとして開発しているペネトレーションテストツールの「Metasploit」に、これら脆弱性に対応したモジュールを追加した。また、脆弱性の調査結果も公開しており、その詳細が明らかになっている(参考:「CVE-2024-12356 | AttackerKB」)。

対象の脆弱性の深刻度は重要(Important)と評価されており注意が必要。当該製品を利用しているユーザーは、ベンダーが提供している情報を確認し、速やかにアップデートすることが推奨されている。