Informazioni sul CVE-2025-1094
PostgreSQL quoting APIs miss neutralizing quoting syntax in text that fails encoding validation
CWE ID: CWE-149
Base Score (CVSS): N/A
CVE: CVE-2025-1094
Descrizione: “La neutralizzazione impropria della sintassi di quoting in funzioni libpq PostgreSQL PQescapeLiteral(), PQescapeIdentifier(), PQescapeString() e PQescapeStringConn permette a un fornitore di input database di ottenere SQL injection in determinate modalità d’uso. Specificamente, SQL injection richiede che l’applicazione utilizzi il risultato della funzione per costruire input per psql, il terminale interattivo PostgreSQL. Allo stesso modo, la neutralizzazione impropria della sintassi di quoting in programmi di utility command line PostgreSQL consente a una fonte di argomenti di comando di ottenere SQL injection quando il client_encoding è BIG5 e il server_encoding è uno tra EUC_TW o MULE_INTERNAL. Versioni precedenti a PostgreSQL 17.3, 16.7, 15.11, 14.16 e 13.19 sono colpite.”
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
Prodotti interessati
- n/a – PostgreSQL
Relazioni con altri prodotti
Nessun prodotto trovato per il CVE: cve-2025-1094