Se ha lanzado una actualización de seguridad para múltiples versiones de PostgreSQL. Esta se enfoca en vulnerabilidades que podrían permitir la inyección de código en el sistema afectado.
Productos afectados
- PostgreSQL 13, versiones anteriores a 13.22.
- PostgreSQL 14, versiones anteriores a 14.19.
- PostgreSQL 15, versiones anteriores a 15.14.
- PostgreSQL 16, versiones anteriores a 16.10.
- PostgreSQL 17, versiones anteriores a 17.6.
Impacto
Las vulnerabilidades se han identificado como:
CVE-2025-8714: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de inclusión de datos inseguros en pg_dump en PostgreSQL. Un actor malicioso con privilegios de superusuario y en el servidor de origen podría lograr la inyección de código en el cliente psql.
CVE-2025-8715: con una puntuación de 8.8 en CVSS v3.1. Existe una vulnerabilidad de una neutralización inadecuada de caracteres newline en pg_dump en PostgreSQL. Un actor malicioso en el servidor de origen podría lograr la inyección de código en el cliente psql.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante. PostgreSQL 13 dejará de recibir actualizaciones el 13 de noviembre, 2025. Se recomienda actualizar a una nueva versión de PostgreSQL.
Referencias
- https://www.postgresql.org/about/news/postgresql-176-1610-1514-1419-1322-and-18-beta-3-released-3118/
- https://nvd.nist.gov/vuln/detail/CVE-2025-8714
- https://nvd.nist.gov/vuln/detail/CVE-2025-8715