El Grupo de Desarrollo de PostgreSQL emitió actualizaciones de seguridad de emergencia el 14 de agosto de 2025, para corregir tres vulnerabilidades críticas. Estas fallas permiten a atacantes inyectar código malicioso durante la restauración de bases de datos, lo que exige una aplicación inmediata de parches en todas las versiones compatibles, de la 13 a la 17.
Vulnerabilidades de volcado y restauración
Las vulnerabilidades CVE-2025-8714 y CVE-2025-8715 son de especial preocupación. Ambas explotan la utilidad pg_dump de PostgreSQL, permitiendo a los atacantes incrustar comandos maliciosos en los archivos de respaldo. Cuando estos archivos se restauran con la utilidad psql, el código malicioso puede ejecutarse en el sistema con los privilegios del usuario que realiza el proceso.
- CVE-2025-8714: Permite a los superusuarios maliciosos insertar metacomandos en los volcados de la base de datos. Estos comandos se ejecutan en el sistema del cliente durante la restauración, lo que puede comprometer toda la infraestructura.
- CVE-2025-8715: Se aprovecha del manejo inadecuado de saltos de línea en los nombres de los objetos, lo que posibilita tanto la inyección de código en el cliente como de SQL en el servidor. Esta vulnerabilidad resurge problemas que se creían solucionados, lo que demuestra cómo pueden reaparecer fallas de seguridad.
Una tercera vulnerabilidad, CVE-2025-8713, permite a los atacantes acceder a datos confidenciales mediante el sistema de estadísticas del optimizador de PostgreSQL. Al crear operadores maliciosos, pueden evadir los controles de acceso y las políticas de seguridad para visualizar datos que deberían estar ocultos.
Recomendaciones
Se insta a las organizaciones a actualizar de inmediato a las versiones 17.6, 16.10, 15.14, 14.19 o 13.22 de PostgreSQL. Estas vulnerabilidades son especialmente peligrosas en entornos DevOps, donde las restauraciones automáticas de respaldos son comunes y los volcados de datos comprometidos pueden ejecutarse con privilegios elevados.
Los proveedores de servicios en la nube ya están aplicando estas actualizaciones de emergencia y, en algunos casos, han deshabilitado temporalmente las restauraciones lógicas para proteger a sus clientes.
Es crucial que los equipos de desarrollo auditen sus procesos para validar los archivos de respaldo. Además, se recuerda a las organizaciones que la versión 13 de PostgreSQL llegará al final de su vida útil el 13 de noviembre de 2025, por lo que es prioritario migrar a una versión más reciente.
Las vulnerabilidades fueron reportadas de forma responsable por Martin Rakhmanov, Matthieu Denais, RyotaK, Noah Misch y Dean Rasheed.
