CVE-2025-59470
CVE-2025-59470
Em resumo
Um Operador de Backup pode executar código malicioso no servidor como usuário postgres enviando parâmetros interval ou order manipulados. Isto é crítico porque permite que um usuário interno ganhe controle completo do sistema de banco de dados.
Detalhe técnico
CWE-77 (Neutralização Inadequada de Elementos Especiais usados em Comando) permite que um Operador de Backup obtenha RCE como usuário postgres através de parâmetros interval ou order malicioso. O ataque requer credenciais válidas de Operador de Backup, mas resulta em comprometimento total do sistema sob o contexto do processo de banco de dados.
Resumo gerado e traduzido por IA a partir da descrição oficial.
This vulnerability allows a Backup Operator to perform remote code execution (RCE) as the postgres user by sending a malicious interval or order parameter.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L
Produtos afetados
Veeam · Backup and RecoveryPoCs públicas encontradas — 1
githubgithub.com/George0Papasotiriou/CVE-2025-59470-PostgreSQL-Command-Injection★ 1⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.
Quer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →Referências
https://www.veeam.com/kb4792