PostgreSQL Global Geliştirme Grubu, 14 Ağustos 2025’te acil durum güvenlik güncellemelerini yayınladı ve veritabanı restorasyon süreçleri sırasında kod enjeksiyon saldırılarını sağlayan üç kritik güvenlik açıkını ele aldı.
Kusurlar, PostgreSQL 13’ten 17’den 17’ye kadar desteklenen tüm sürümleri etkiler ve kurumsal ortamlarda derhal yama gerektirir.
Tehlikeli Döküm ve Geri Yükleme Güvenlik Açıkları
İki şiddetli kod yürütme güvenlik açıkları, CVE-2025-8714 ve CVE-2025-8715, PostgreSQL’in PG_DUMP yardımcı programını yedekleme dosyalarına kötü niyetli komutlar enjekte etmek için kullanın.
Bu tehlikeye atılan dökümler PSQL kullanılarak geri yüklendiğinde, saldırganlar, restorasyon sürecini çalıştıran kullanıcının ayrıcalıklarıyla hedef sistemde keyfi kod yürütebilir.
CVE-2025-8714, kötü niyetli süper kullanıcıların PSQL meta-komutlarını veritabanı dökümlerine yerleştirmesine izin verir.
| CVE kimliği | CVSS Puanı | Darbe | Etkilenen sürümler |
| CVE-2025-8714 | 8.8 | PG_DUMP Meta-Komutları aracılığıyla keyfi işletim sistemi kodu yürütülmesi | 13-17 |
| CVE-2025-8715 | 8.8 | Nesne adlarında yeni hat işleme yoluyla kod/sql enjeksiyonu | 13-17 |
| CVE-2025-8713 | 3.1 | Optimize edici istatistikler aracılığıyla veri maruziyeti | 13-17 |
Restorasyon sırasında, bu komutlar müşteri sisteminde yürütülür ve potansiyel olarak tüm altyapı boru hatlarından ödün verir. Saldırı, MySQL’in CVE-2024-21096’sına benzer şekilde PG_DUMP’teki güvenilmeyen veri dahil edilmesinden yararlanıyor.
CVE-2025-8715, nesne adlarında uygunsuz yeni hat kullanımından yararlanır ve hedef sunucuda hem istemci tarafı kod yürütmesini hem de SQL enjeksiyonunu etkinleştirir.
Bu güvenlik açığı, CVE-2012-0868 tarafından sabitlenmiş olan saldırı vektörlerini yeniden tanıtıyor ve rutin bakım güncellemeleri sırasında güvenlik regresyonlarının nasıl olabileceğini gösteriyor.
Üçüncü güvenlik açığı olan CVE-2025-8713, hassas verileri PostgreSQL’in optimize edici istatistik sistemi aracılığıyla ortaya çıkarır.
Saldırganlar, gizli kalması gereken örneklenmiş verilere erişerek erişim kontrollerini ve satır düzeyinde güvenlik politikalarını görüntülemek için kötü niyetli operatörler oluşturabilir.
Kuruluşlar, 17.6, 16.10, 15.14, 14.19 veya 13.22 PostgreSQL sürümlerine yükseltilmelidir.
Güvenlik açıkları özellikle otomatik yedekleme restorasyonunun düzenli olarak gerçekleştiği DevOps ortamlarında tehlikelidir, çünkü tehlikeye atılan dökümler yüksek sistem ayrıcalıklarıyla yürütülebilir.
Bulut sağlayıcıları, kiracı kümeleri yamalı olarak doğrulanıncaya kadar, müşteri tarafından başlatılan mantıksal geri yükleme işlemlerini devre dışı bırakan birkaç devre dışı bırakma ile acil durum filosu güncellemelerine başladı.
Geliştirme ekipleri, PG_DUMP kullanımı için CI/CD boru hatlarını denetlemeli ve yedekleme dosyaları için ek doğrulama adımları uygulamalıdır.
PostgreSQL projesi, bu güvenlik açıklarının sorumlu ifşa edilmesi için Martin Rakhmanov, Matthieu Denais, Ryotak, Noah Misch ve Dean Rasheed’i kredilendiriyor.
PostgreSQL 13, 13 Kasım 2025’te ömrünün sonuna ulaştığında, kuruluşlar desteklenen sürümlere geçişe öncelik vermelidir.
AWS Security Services: 10-Point Executive Checklist - Download for Free