PostgreSQL 13.x < 13.23 / 14.x < 14.20 / 15.x < 15.15 / 16.x < 16.11 / 17.x < 17.7 / 18.x < 18.1 多個弱點
medium Nessus Plugin ID 275842
語言:
概要
遠端資料庫伺服器受到多個弱點影響說明
遠端主機上安裝的 PostgreSQL 版本是 13.23 之前的 13 版、14.20之前的 14 版、15.15 之前的 15 版、16.11 之前的 16 版、17.7 之前的 17 版或是 18.1 之前的 18 版。因此可能受到多個弱點影響:- 多個 PostgreSQL libpq 用戶端程式庫函式中的整數換行可允許應用程式輸入提供者或網路對等節點,造成 libpq 配置不足及寫入超出邊界數百個 MB。如此會導致使用 libpq 的應用程式發生分割錯誤。PostgreSQL 18.1、17.7、16.11、15.15、14.20 和 13.23 之前版本均會受到影響。(CVE-2025-12818)
- PostgreSQL CREATE STATISTICS 命令中缺少授權,此弱點可允許表格擁有者透過在任何配置中建立,針對其他 CREATE STATISTICS 使用者造成拒絕服務。之後,具有 CREATE 特權的使用者針對相同名稱執行的 CREATE STATISTICS 會失敗。PostgreSQL 18.1、17.7、16.11、15.15、14.20 和 13.23 之前版本均會受到影響。(CVE-2025-12817)
請注意,Nessus 並未測試這些問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
升級至 PostgreSQL 13.23 / 14.20 / 15.15 / 16.11 / 17.7 / 18.1 或更新版本另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 275842
檔案名稱: postgresql_20251113.nasl
版本: 1.2
類型: combined
代理程式: windows, macosx, unix
系列: Databases
已發布: 2025/11/20
已更新: 2025/11/21
支援的感應器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.6
CVSS v2
風險因素: Medium
基本分數: 5.4
時間性分數: 4
媒介: CVSS2#AV:N/AC:H/Au:N/C:N/I:N/A:C
CVSS 評分資料來源: CVE-2025-12818
CVSS v3
風險因素: Medium
基本分數: 5.9
時間性分數: 5.2
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
時間媒介: CVSS:3.0/E:U/RL:O/RC:C
弱點資訊
CPE: cpe:/a:postgresql:postgresql
可輕鬆利用: No known exploits are available
修補程式發佈日期: 2025/11/13
弱點發布日期: 2025/11/13
參考資訊
CVE: CVE-2025-12817, CVE-2025-12818
IAVB: 2025-B-0192