PostgreSQL SQL injection / در تاریخ ۱۳ فوریۀ ۲۰۲۵ آسیبپذیری جدیدی با نام CVE-2025-1094 برای پایگاه دادۀ PostgreSQL اعلام شد؛ آسیبپذیریای که میتواند به دسترسی مهاجمان به کل دیتابیس و دادههای آن منجر شود. آروانکلاد این آسیبپذیری را در کوتاهترین زمان شناسایی کرد و با بهرهگیری از ویژگی Automatic Update/Upgrade، بدون ایجاد اختلال در سرویس کاربران دیتابیس ابری این آسیبپذیری رفع شد.
شرح این آسیبپذیری
این آسیبپذیری بر مبنای این تصور اشتباه بود که «هنگامی که با استفاده از توابع PostgreSQL String Escaping مانند PQescapeString ورودیهای یک کاربر (یا مهاجم) امن سازی شد دیگر امکان وقوع حملات SQL-Injection از این طریق وجود ندارد».
اما در این آسیبپذیری مشخص شد در حالتی که ورودی موردنظر با استفاده از ابزار PSQL روی سرور اجرا شود این حملات همچنان امکانپذیر و دادهها در خطر است.
ریشۀ این مشکل نیز در نحوۀ برخورد توابع نامبرده با کاراکترهای غیرمجاز UTF-8 و همچنین نحوۀ پردازش رشته بایتهای غیرمجاز داخل این کاراکترها توسط ابزار PSQL قرار دارد، که مهاجم با استفاده از این دو مشکل میتواند حملهای از نوع SQL-Injection انجام دهد.
همچنین مهاجمی که از این حفرۀ امنیتی استفاده میکند میتواند با استفاده از تواناییهای ابزار PSQL برای اجرای Meta-Commandها -که کامندهایی برای گسترش قابلیتهای این ابزار هستند- به Arbitrary Code Execution (ACE) نیز دست پیدا کند. یکی از خطرناکترین این کامندها، ! است که توانایی اجرای OS Shell Commandها را فراهم میکند و به مهاجم امکان کنترل کامندهای اجرا شده از این طریق را نیز میدهد؛ که این به معنای نفوذ و دسترسی در سطح سیستم عامل است.
چه کسانی تحتتأثیر قرار میگیرند؟
تمامی نسخه های قبل از PostgreSQL 17.3, 16.7, 15.11, 14.16, 13.19 تحتتأثیر این آسیبپذیری قرار میگیرند.
راهحلها
- کاربرانی که از دیتابیس ابری آروانکلاد استفاده نمیکنند:
برای حل این مشکل باید کدهای مربوط به استفاده از توابع PostgreSQL String Escaping را اصلاح کرده و از نحوۀ Encoding اطمینان پیدا کنند. راهحل دیگر ارتقای ورژن دیتابیس به یکی از ورژنهای ۱۷.۳, ۱۶.۷, ۱۵.۱۱, ۱۴.۱۶, ۱۳.۱۹ است. - کاربران دیتابیس ابری آروانکلاد:
کاربران دیتابیس ابری آروانکلاد بدون انجام روشهای بالا میتوانند از این آسیبپذیری مصون بمانند. ویژگی Automatic Update/Upgrade دیتابیس ابری آروانکلاد بدون هیچگونه اختلال در عملکرد سرویس و ایجاد Downtime یا Data Loss بهشکل خودکار بهروزرسانیهای مورد نظر را انجام میدهد.
در محصول دیتابیس ابری آروانکلاد، در تاریخ ۱۷/۰۲/۲۰۲۵ این بهروزرسانی بهشکل اتوماتیک انجام شده است. باتوجهبه اهمیت بالای این آسیبپذیری، پس از اعلام شناسایی آن، بهسرعت مقدمات انجام این بهروزرسانی فراهم و سپس انجام شد. دیتابیس ابری آروانکلاد با داشتن ویژگی Automatic Update/Upgrade این امکان را برای کاربران فراهم کرده است که بدون نیاز به داشتن دغدغه در رابطه با آپدیتهای مهم، بهویژه موارد مهم امنیتی، روی توسعۀ کسبوکار خودشان تمرکز کنند. از مزیتهای مهم Automatic Upgrade دیتابیس ابری آروانکلاد، انجام بهروزرسانی بدون ایجاد اختلالی در سرویس است؛ بهطوری که Upgrade دیتابیس بدون Downtime، بدون Data Loss و همچنین بدون نیاز به مداخلۀ کاربر انجام میشود.
منبع خبر:
مصور
/ هشدار نسبت به آسیبپذیری PostgreSQL SQL injection
تمامی حقوق گردآوری و تالیف خبر متعلق به ناشر اصلی آن که در لینک فوق به آن اشاره شده است می باشد. در صورت نیاز به ارسال جوابیه یا توضیح تکمیلی برای مطلب منتشر شده صرفا از طریق مرجع اصلی خبر اقدام نمایید.
