根据 Rapid7 的调查结果，2024 年 12 月利用 BeyondTrust 特权远程访问（PRA）和远程支持（RS）产品中的零日漏洞的威胁行为者，很可能还利用了 PostgreSQL 中此前未知的 SQL 注入漏洞。

这个被追踪为 CVE-2025-1094（通用漏洞评分系统（CVSS）评分为 8.1）的漏洞，影响了 PostgreSQL 交互式工具 psql。

安全研究员斯蒂芬・富尔（Stephen Fewer）表示：“能够通过 CVE-2025-1094 实现 SQL 注入的攻击者，随后可以利用该交互式工具运行元命令的能力来实现任意代码执行（ACE）。”

这家网络安全公司进一步指出，他们是在对 CVE-2024-12356 进行调查时发现了这一情况，CVE-2024-12356 是 BeyondTrust 软件中最近已修复的一个安全漏洞，该漏洞允许未经身份验证的远程代码执行。

具体来说，该公司发现 “要成功利用 CVE-2024-12356 漏洞，必须包含对 CVE-2025-1094 漏洞的利用，才能实现远程代码执行”。

在一次协调披露中，PostgreSQL 的维护者发布了一个更新，以修复以下版本中的问题：

1.PostgreSQL 17（在 17.3 版本中修复）

2.PostgreSQL 16（在 16.7 版本中修复）

3.PostgreSQL 15（在 15.11 版本中修复）

4.PostgreSQL 14（在 14.16 版本中修复）

5.PostgreSQL 13（在 13.19 版本中修复）

该漏洞源于 PostgreSQL 处理无效 UTF-8 字符的方式，从而为攻击者利用快捷命令 “!” 进行 SQL 注入打开了方便之门，该命令可用于执行 shell 命令。

富尔说：“攻击者可以利用 CVE-2025-1094 来执行这个元命令，从而控制所执行的操作系统 shell 命令。或者，能够通过 CVE-2025-1094 实现 SQL 注入的攻击者，可以执行由攻击者任意控制的 SQL 语句。”

与此同时，美国网络安全与基础设施安全局（CISA）将一个影响 SimpleHelp 远程支持软件的安全漏洞（CVE-2024-57727，CVSS 评分为 7.5）列入了已知被利用漏洞（KEV）目录，要求联邦机构在 2025 年 3 月 6 日前应用修复程序。