【安全资讯】PostgreSQL存在远程代码执行漏洞（CVE-2025-8715）

近日，安恒信息CERT监测到PostgreSQL存在远程代码执行漏洞（CVE-2025-8715），PostgreSQL中对换行符的不当处理，pg_dump允许源服务器用户以运行psql的客户端操作系统帐户身份，通过在特制对象名中嵌入psql代码，在还原时注入任意代码执行。同样的攻击也可以还原目标服务器的超级用户身份实现SQL注入。

影响版本：

PostgreSQL 17.x < 17.6

PostgreSQL 16.x < 16.10

PostgreSQL 15.x < 15.14

PostgreSQL 14.x < 14.19

PostgreSQL 13.x < 13.22

官方修复方案:

官方已发布修复方案，受影响的用户请将PostgreSQL升级到对应的安全版本。

临时缓解方案：

避免使用pg_dump生成可能包含不受信任数据的转储，直到升级至安全版本为止。

参考链接：

https://www.postgresql.org/support/security/CVE-2025-8715/