O Grupo de Desenvolvimento Global do PostgreSQL divulgou atualizações de segurança de emergência em 14 de agosto de 2025, abordando três críticas Vulnerabilidades Isso permite ataques de injeção de código durante os processos de restauração do banco de dados.
As falhas afetam todas as versões suportadas do PostgreSQL 13 a 17, exigindo patches imediatos em ambientes corporativos.
Depósito perigoso e restauração de vulnerabilidades
Duas vulnerabilidades graves de execução de código, CVE-2025-8714 e CVE-2025-8715, exploram o utilitário PG_DUMP do PostGresql para injetar comandos maliciosos em arquivos de backup.
Quando esses despejos comprometidos são restaurados usando o PSQL, os invasores podem executar o código arbitrário no sistema de destino com os privilégios do usuário executando o processo de restauração.
O CVE-2025-8714 permite que os superusores maliciosos incorporem meta-comandos PSQL nos dumps de banco de dados.
| Cve id | Pontuação do CVSS | Impacto | Versões afetadas |
| CVE-2025-8714 | 8.8 | Execução do código do sistema operacional arbitrário via meta-commandos pg_dump | 13-17 |
| CVE-2025-8715 | 8.8 | Injeção de código/SQL por meio de manuseio de nova linha em nomes de objetos | 13-17 |
| CVE-2025-8713 | 3.1 | Exposição de dados via estatísticas de otimizador | 13-17 |
Durante a restauração, esses comandos são executados no sistema do cliente, potencialmente comprometendo os pipelines de infraestrutura inteira. O ataque aproveita a inclusão de dados não confiável em PG_DUMP, semelhante ao CVE-2024-21096 da MYSQL.
CVE-2025-8715 Explora o manuseio inadequado de nova linha em nomes de objetos, permitindo a execução do código do lado do cliente e Injeção de SQL no servidor de destino.
Essa vulnerabilidade reintroduz vetores de ataque que supostamente foram fixados pelo CVE-2012-0868, demonstrando como as regressões de segurança podem ocorrer durante as atualizações de manutenção de rotina.
A terceira vulnerabilidade, CVE-2025-8713, expõe dados confidenciais através do sistema de estatísticas de otimizador do PostgreSQL.
Os invasores podem criar operadores maliciosos para ignorar os controles de acesso e as políticas de segurança no nível da linha, acessando dados amostrados que devem permanecer ocultos.
As organizações devem atualizar para as versões PostgreSQL 17.6, 16.10, 15.14, 14.19 ou 13.22 imediatamente.
As vulnerabilidades são particularmente perigosas em ambientes DevOps, onde a restauração automatizada de backup ocorre regularmente, pois os dumps comprometidos podem ser executados com privilégios elevados do sistema.
Os provedores de nuvem já iniciaram atualizações de frota de emergência, com várias operações de restauração lógica iniciadas pelo cliente até que os clusters de inquilinos sejam verificados como corrigidos.
As equipes de desenvolvimento devem auditar seus pipelines CI/CD para uso do PG_DUMP e implementar etapas adicionais de validação para arquivos de backup.
O PostGresql Créditos do projeto Martin Rakhmanov, Matthieu Denais, Ryotak, Noah Misch e Dean Rasheed pela divulgação responsável dessas vulnerabilidades.
Com o PostgreSQL 13 atingindo o fim da vida em 13 de novembro de 2025, as organizações devem priorizar a migração para versões suportadas.
AWS Security Services:10-Point Executive Checklist - Download for Free