B
今週中
PostgreSQLのpsqlツールにおいて、無効なUTF-8文字の処理に不備があるため、SQLインジェクションが発生する脆弱性(CVE-2025-1094)
📌 一言でいうと
PostgreSQLのpsqlツールにおいて、無効なUTF-8文字の処理に不備があるため、SQLインジェクションが発生する脆弱性(CVE-2025-1094)が公開されました。攻撃者は特製の入力を送信することで、認証なしに任意のコードを実行できる可能性があります。すでに野外での利用が確認されており、CVSSスコアは8.1と高く、迅速なアップデートが推奨されています。
🔍該当判定
- データベースに『PostgreSQL』を利用している
- PostgreSQLのバージョンが 17.2以下 / 16.6以下 / 15.10以下 / 14.15以下 / 13.18以下のいずれかである
- コマンドライン操作ツール『psql』を社内または外部から利用可能な状態で運用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
最新の修正済みバージョン(PostgreSQL 17.3, 16.7, 15.11, 14.16, 13.19 以降)へのアップデートを強く推奨します。アップデートが困難な場合は、psqlに渡す入力から無効なUTF-8シーケンスを除去し、パラメータ化クエリを使用してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】PostgreSQL SQL注入漏洞(CVE-2025-1094)対応について
お疲れさまです。PostgreSQLの脆弱性に関する情報共有です。
■ 概要
PostgreSQLのpsqlツールにおいて、無効なUTF-8文字の処理不備によるSQLインジェクションの脆弱性が発見されました(CVE-2025-1094)。CVSSスコアは8.1であり、認証なしで任意のコードが実行されるリスクがあります。また、既に野外での悪用が確認されています。
■ 影響範囲
- PostgreSQL 17 < 17.3
- PostgreSQL 16 < 16.7
- PostgreSQL 15 < 15.11
- PostgreSQL 14 < 14.16
- PostgreSQL 13 < 13.19
■ 対応手順
1. 利用中のPostgreSQLバージョンを確認してください。
2. 影響を受けるバージョンである場合、速やかに最新バージョン(17.3, 16.7, 15.11, 14.16, 13.19以降)へアップデートしてください。
3. アップデートが即時困難な場合は、psqlへの入力値のバリデーション(無効なUTF-8の除去)およびパラメータ化クエリの徹底を検討してください。
■ 参考情報
- https://www.postgresql.org/support/security/CVE-2025-1094
対応優先度: 高
対応期限: 速やかに
お疲れさまです。PostgreSQLの脆弱性に関する情報共有です。
■ 概要
PostgreSQLのpsqlツールにおいて、無効なUTF-8文字の処理不備によるSQLインジェクションの脆弱性が発見されました(CVE-2025-1094)。CVSSスコアは8.1であり、認証なしで任意のコードが実行されるリスクがあります。また、既に野外での悪用が確認されています。
■ 影響範囲
- PostgreSQL 17 < 17.3
- PostgreSQL 16 < 16.7
- PostgreSQL 15 < 15.11
- PostgreSQL 14 < 14.16
- PostgreSQL 13 < 13.19
■ 対応手順
1. 利用中のPostgreSQLバージョンを確認してください。
2. 影響を受けるバージョンである場合、速やかに最新バージョン(17.3, 16.7, 15.11, 14.16, 13.19以降)へアップデートしてください。
3. アップデートが即時困難な場合は、psqlへの入力値のバリデーション(無効なUTF-8の除去)およびパラメータ化クエリの徹底を検討してください。
■ 参考情報
- https://www.postgresql.org/support/security/CVE-2025-1094
対応優先度: 高
対応期限: 速やかに
Subject: [Security Advisory] PostgreSQL SQL Injection Vulnerability (CVE-2025-1094)
Dear IT Administration Team,
We are sharing critical information regarding a vulnerability in PostgreSQL.
■ Overview
A SQL injection vulnerability (CVE-2025-1094) has been discovered in the psql tool of PostgreSQL due to improper handling of invalid UTF-8 characters. This flaw allows unauthenticated attackers to execute arbitrary code. The CVSS score is 8.1, and active exploitation in the wild has been reported.
■ Affected Versions
- PostgreSQL 17 < 17.3
- PostgreSQL 16 < 16.7
- PostgreSQL 15 < 15.11
- PostgreSQL 14 < 14.16
- PostgreSQL 13 < 13.19
■ Remediation Steps
1. Verify the current version of PostgreSQL in use.
2. If affected, immediately upgrade to the patched versions (17.3, 16.7, 15.11, 14.16, or 13.19 and later).
3. If an immediate upgrade is not possible, implement temporary mitigations such as sanitizing invalid UTF-8 sequences before passing them to psql and using parameterized queries.
■ Reference
- https://www.postgresql.org/support/security/CVE-2025-1094
Priority: High
Deadline: Immediate
Dear IT Administration Team,
We are sharing critical information regarding a vulnerability in PostgreSQL.
■ Overview
A SQL injection vulnerability (CVE-2025-1094) has been discovered in the psql tool of PostgreSQL due to improper handling of invalid UTF-8 characters. This flaw allows unauthenticated attackers to execute arbitrary code. The CVSS score is 8.1, and active exploitation in the wild has been reported.
■ Affected Versions
- PostgreSQL 17 < 17.3
- PostgreSQL 16 < 16.7
- PostgreSQL 15 < 15.11
- PostgreSQL 14 < 14.16
- PostgreSQL 13 < 13.19
■ Remediation Steps
1. Verify the current version of PostgreSQL in use.
2. If affected, immediately upgrade to the patched versions (17.3, 16.7, 15.11, 14.16, or 13.19 and later).
3. If an immediate upgrade is not possible, implement temporary mitigations such as sanitizing invalid UTF-8 sequences before passing them to psql and using parameterized queries.
■ Reference
- https://www.postgresql.org/support/security/CVE-2025-1094
Priority: High
Deadline: Immediate