一、 漏洞 CVE-2025-1094 基础信息
漏洞标题
PostgreSQL引用API在文本编码验证失败时未中和引用语法
来源:AIGC 神龙大模型
漏洞描述信息
在 PostgreSQL 的 libpq 函数 PQescapeLiteral()、PQescapeIdentifier()、PQescapeString() 和 PQescapeStringConn() 中,对引用语法的不当中和允许数据库输入提供者在某些使用模式下实现 SQL 注入。具体来说,SQL 注入需要应用程序使用函数结果来构造 psql(PostgreSQL 交互终端)的输入。同样,在 PostgreSQL 命令行实用程序中,对引用语法的不当中和允许命令行参数的来源在客户端编码为 BIG5 且服务器编码为 EUC_TW 或 MULE_INTERNAL 时实现 SQL 注入。在 PostgreSQL 17.3、16.7、15.11、14.16 和 13.19 之前的版本中存在此问题。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:AIGC 神龙大模型
漏洞标题
PostgreSQL quoting APIs miss neutralizing quoting syntax in text that fails encoding validation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Improper neutralization of quoting syntax in PostgreSQL libpq functions PQescapeLiteral(), PQescapeIdentifier(), PQescapeString(), and PQescapeStringConn() allows a database input provider to achieve SQL injection in certain usage patterns. Specifically, SQL injection requires the application to use the function result to construct input to psql, the PostgreSQL interactive terminal. Similarly, improper neutralization of quoting syntax in PostgreSQL command line utility programs allows a source of command line arguments to achieve SQL injection when client_encoding is BIG5 and server_encoding is one of EUC_TW or MULE_INTERNAL. Versions before PostgreSQL 17.3, 16.7, 15.11, 14.16, and 13.19 are affected.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
引号语法转义处理不恰当
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2025-1094 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-1094 的情报信息