هشدار نسبت به آسیب‌پذیری PostgreSQL SQL injection

در تاریخ ۱۳ فوریه ۲۰۲۵ آسیب‌پذیری جدیدی با نام CVE-2025-1094 برای پایگاه داده PostgreSQL اعلام شد. این آسیب پذیری می‌تواند به دسترسی مهاجمان به کل دیتابیس و داده‌های آن منجر شود. آروان‌کلاد این آسیب‌پذیری را در کوتاه‌ترین زمان شناسایی کرده و با بهره‌گیری از ویژگی Automatic Update/Upgrade، بدون ایجاد اختلال در سرویس کاربران دیتابیس ابری این آسیب‌پذیری رفع شد.

شرح این آسیب‌پذیری

این آسیب‌پذیری بر مبنای این تصور اشتباه بود که «هنگامی که با استفاده از توابع PostgreSQL String Escaping مانند PQescapeString ورودی‌های یک کاربر (یا مهاجم) امن سازی شود، دیگر امکان وقوع حملات SQL-Injection از این طریق وجود ندارد».

اما در این آسیب‌پذیری مشخص شد در حالتی که ورودی موردنظر با استفاده از ابزار PSQL روی سرور اجرا شود، این حملات هم‌چنان امکان‌پذیر و داده‌ها در خطر است.

ریشه این مشکل نیز در نحوه برخورد توابع نام‌برده با کاراکترهای غیرمجاز UTF-8 و هم‌چنین نحوه پردازش رشته بایت‌های غیرمجاز داخل این کاراکترها توسط ابزار PSQL قرار دارد، که مهاجم با استفاده از این دو مشکل می‌تواند حمله‌ای از نوع SQL-Injection انجام دهد.

هم‌چنین مهاجمی که از این حفره امنیتی استفاده می‌کند، می‌تواند با استفاده از توانایی‌های ابزار PSQL برای اجرای Meta-Commandها، که کامندهایی برای گسترش قابلیت‌های این ابزار هستند، به  Arbitrary Code Execution (ACE) نیز دست پیدا کند. یکی از خطرناک‌ترین این کامندها ! است که توانایی اجرای OS Shell Commandها را فراهم می‌کند و به مهاجم امکان کنترل کامندهای اجرا شده از این طریق را نیز می‌دهد؛ که این به‌معنای نفوذ و دسترسی در سطح سیستم عامل است.

چه کسانی تحت تاثیر قرار می‌گیرند؟

تمامی نسخه‌های قبل از PostgreSQL 17.3, 16.7, 15.11, 14.16, 13.19 تحت تاثیر این آسیب‌پذیری قرار می‌گیرند.

راه‌حل‌ها

کاربرانی که از دیتابیس ابری آروان‌کلاد استفاده نمی‌کنند:

برای حل این مشکل باید کد‌های مربوط به استفاده از توابع  PostgreSQL String Escaping را اصلاح کرده و از نحوه‌ی Encoding اطمینان پیدا کنند. راه‌حل دیگر ارتقای ورژن دیتابیس به یکی از ورژن‌های 17.3, 16.7, 15.11, 14.16, 13.19 است.

کاربران دیتابیس ابری آروان‌کلاد:

کاربران دیتابیس ابری آروان‌کلاد بدون انجام روش‌های بالا می‌توانند از این آسیب‌پذیری مصون بمانند. ویژگی Automatic Update/Upgrade دیتابیس ابری آروان‌کلاد بدون هیچ‌گونه اختلال در عملکرد سرویس و ایجاد Downtime یا Data Loss به‌شکل خودکار به‌روزرسانی‌های مورد نظر را انجام‌ می‌دهد.

در محصول دیتابیس ابری آروان کلاد، در تاریخ 17/02/2025 این به‌روزرسانی به‌شکل اتوماتیک انجام شده است. با توجه به اهمیت بالای این آسیب‌پذیری، پس از اعلام شناسایی آن، به سرعت مقدمات انجام این به‌روزرسانی فراهم و سپس انجام شد. دیتابیس ابری آروان کلاد با داشتن ویژگی Automatic Update/Upgrade این امکان را برای کاربران فراهم کرده است که بدون نیاز به داشتن دغدغه در رابطه با آپدیت‌های مهم، به‌ویژه موارد مهم امنیتی، روی توسعه کسب‌وکار خودشان تمرکز کنند. از مزیت‌های مهم Automatic Upgrade دیتابیس ابری آروان کلاد، انجام به‌روزرسانی بدون ایجاد اختلالی در سرویس است؛ به‌طوری که Upgrade دیتابیس بدون Downtime، بدون Data Loss و هم‌چنین بدون نیاز به مداخله‌ی کاربر انجام می شود.