Los actores de amenaza que estaban detrás de la explotación de una vulnerabilidad de día cero en productos de acceso remoto privilegiado (PRA) y soporte remoto (RS) (RS) en diciembre de 2024 probablemente también explotó una falla de inyección SQL previamente desconocida en Postgresql, según los hallazgos de Rapid7.
La vulnerabilidad, rastreada como CVE-2025-1094 (Puntuación CVSS: 8.1), afecta la herramienta interactiva PostgreSQL PSQL.
«Un atacante que puede generar una inyección SQL a través de CVE-2025-1094 puede lograr la ejecución de código arbitraria (ACE) aprovechando la capacidad de la herramienta interactiva para ejecutar meta-comandos», dijo el investigador de seguridad Stephen menos.
La compañía de seguridad cibernética señaló además que hizo el descubrimiento como parte de su investigación sobre CVE-2024-12356, una falla de seguridad recientemente parcheada en el software Beyondtrust que permite la ejecución de código remoto no autenticado.
Específicamente, encontró que «un exploit exitoso para CVE-2024-12356 tenía que incluir la explotación de CVE-2025-1094 para lograr la ejecución de código remoto».
En una divulgación coordinada, los mantenedores de PostgreSQL publicaron una actualización para abordar el problema en las siguientes versiones:
- PostgreSQL 17 (fijo en 17.3)
- PostgreSQL 16 (fijo en 16.7)
- PostgreSQL 15 (fijo en 15.11)
- PostgreSQL 14 (fijo en 14.16)
- PostgreSQL 13 (fijo en 13.19)
La vulnerabilidad se debe a cómo PostgreSQL maneja los caracteres no válidos de UTF-8, abriendo así la puerta a un escenario en el que un atacante podría explotar una inyección SQL haciendo uso de un comando de acceso directo «!», Que permite la ejecución del comando de shell.
«Un atacante puede aprovechar CVE-2025-1094 para realizar este meta-comando, controlando así el comando de shell del sistema operativo que se ejecuta», dijo menos. «Alternativamente, un atacante que puede generar una inyección SQL a través de CVE-2025-1094 puede ejecutar declaraciones SQL controladas por atacantes arbitrarias».
El desarrollo se produce cuando la Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA) agregó una falla de seguridad que impacta el software de soporte remoto SimpleHelp (CVE-2024-57727, CVSS Score: 7.5) al catálogo de vulnerabilidades explotadas (KEV) conocidas, que requieren que las agencias federales apliquen aplicar aplicando Las soluciones para el 6 de marzo de 2025.