PostgreSQL – IoT OT Security News

PostgreSQL の脆弱性 CVE-2025-8713／8714／8715 が FIX：任意のコード実行の可能性

Critical PostgreSQL Vulnerabilities Allow Arbitrary Code Injection During Restoration

2025/08/18 CyberSecurityNews — PostgreSQL Global Development Group が発表したのは、データベースの復元プロセス中に、攻撃者が任意のコード実行を可能にする、深刻な脆弱性 CVE-2025-8713／8714 への対処である。このアップデートにより、サポート対象の全バージョンに対して、緊急セキュリティ更新がリリースされた。これらの脆弱性が影響を及ぼす範囲は、PostgreSQL バージョン 13～17 であり、パッチ提供バージョンは 17.6／16.10／15.14／14.19／13.22 となっている。３件のセキュリティ上の欠陥のうちの２件は、PostgreSQL のバックアップおよび復元手順に依存する組織にとって、きわめて深刻なリスクとなる。

Pgpool-II の脆弱性 CVE-2025-46801 が FIX：ミスコンフィグによる認証バイパス

Pgpool-II Hit by Critical CVE-2025-46801: CVSS 9.8 Risk Lets Attackers Bypass Authentication

2025/05/16 SecurityOnline — PgPool Global Development Group が発行したのは、PostgreSQL サーバとデータベース・クライアントの間で使用されるミドルウェア Pgpool-II に存在する、深刻度の高い脆弱性に対するセキュリティ・アドバイザリの発行である。この脆弱性 CVE-2025-46801 は、特定のミスコンフィグにより認証バイパスを許すものであり、CVSS スコアは 9.8 となっている。

Bitnami Pgpool の脆弱性 CVE-2025-22248 とミスコンフィグ：PostgreSQL への不正アクセスが可能に

Critical Misconfiguration in Bitnami Pgpool Enables Unauthenticated PostgreSQL Access (CVE-2025-22248)

2025/05/14 SecurityOnline — Bitnami Pgpool-II Docker image および bitnami/postgres-ha Kubernetes Helm chart に存在する、深刻なセキュリティ脆弱性が確認された。この脆弱性は CVE-2025-22248 として追跡されており、CVSS v4 スコアは 9.4 と評価されている。この脆弱性を悪用する攻撃者は、認証を必要とすることなく、PostgreSQL データベースへアクセスを手にするようだ。

ADOdb PHP Library の脆弱性 CVE-2025-46337 (CVSS 10.0) が FIX：深刻な SQLi の恐れ

Critical SQL Injection Vulnerability Found in ADOdb PHP Library – CVE-2025-46337 (CVSS 10.0)

2025/05/05 SecurityOnline — 世界中で 280万件以上のインストール数を誇る PHP データベースの抽象化ライブラリ ADOdb に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-46337 は、PostgreSQL ドライバの pg_insert_id() メソッドに存在し、脆弱なアプリケーション上での任意の SQL コマンド実行を、攻撃者に許す可能性があるものだ。

pgAdmin 4 の脆弱性 CVE-2025-2945／2946 が FIX：きわめて深刻な RCE と XSS

pgAdmin 4 Vulnerabilities Expose Databases to Remote Code Execution and XSS

2025/04/07 SecurityOnline — 広く利用されている PostgreSQL 管理ツール pgAdmin 4 だが、データベース環境に大きなリスクをもたらす、２つの深刻なセキュリティ脆弱性に対処したところである。最新リリースである、pgAdmin 4 のバージョン 9.2 では、リモート・コード実行 (RCE) 攻撃やクロスサイト・スクリプティング (XSS) 攻撃を許す可能性のある、深刻な欠陥が修正されている。したがって、ユーザーは、速やかにアップデートすべきである。

PostgreSQL のインスタンス 1,500+ を悪用：XMRig をファイルレスで展開するキャンペーンとは？

Over 1,500 PostgreSQL Servers Compromised in Fileless Cryptocurrency Mining Campaign

2025/04/01 TheHackerNews — インターネットに露出する PostgreSQL インスタンスが、進行中のキャンペーンのターゲットにされているが、その目的は、不正アクセスの取得と、暗号通貨マイナーの展開にあるという。クラウド・セキュリティ企業 Wiz によると、2024年8月の時点で Aqua Security がフラグを付けた、侵入セットの亜種による活動が検出され、PG_MEM と呼ばれるマルウェア株が展開されているという。このキャンペーンは、Wiz が JINX-0126として追跡している、脅威アクターによるものとされる。

Appsmith の脆弱性 CVE-2024-55963 などが FIX：PostgreSQL ミスコンフィグと RCE PoC

CVE-2024-55963: Appsmith’s Default PostgreSQL Misconfiguration Leads to RCE, PoC Releases

2025/03/27 SecurityOnline — 先日に Rhino Security Labs が公表したのは、Appsmith 製品のデフォルト・インストールに影響を及ぼす、一連の重大な脆弱性に関する詳細な情報である。これらの脆弱性のうちで、最も深刻なものは CVE-2024-55963 であり、デフォルトで取り込まれている PostgreSQL データベースのミスコンフィグにより、未認証の攻撃者に対してリモート・コード実行を許すものである。

Percona PMM OVA の脆弱性 CVE-2025-26701 (CVSS 10) が FIX：ルート認証情報の漏洩

CVE-2025-26701 (CVSS 10): Percona PMM OVA Users at Risk of Unauthorized Access

2025/03/14 SecurityOnline — Percona Monitoring and Management (PMM) の、Open Virtual Appliance (OVA) に深刻なセキュリティ脆弱性が発見され、そのデータベース環境に深刻なリスクが生じている。この脆弱性 CVE-2025-26701 (CVSS：10.o) の悪用に成功した攻撃者は、不正なルート・アクセスを達成し、機密性の高いシステム認証情報を漏洩させる可能性を得るという。

PostgreSQL ゼロデイ脆弱性 CVE-2025-1094：BeyondTrust を介した米財務省侵害の原因か？

Rapid7 Flags New PostgreSQL Zero-Day Connected to BeyondTrust Exploitation

2025/02/13 SecurityWeek — 2月13日 (木) に Rapid7 のセキュリティ研究者たちにより、PostgreSQL に新たなゼロデイ脆弱性が発見されたが、BeyondTrust リモート・サポート製品に対する一連の攻撃において、この欠陥は重要な構成要素だったようだ。

Versa Director の重大な脆弱性 CVE-2024-42450 (CVSS 10.0) が FIX：直ちにアップデートを！

CVE-2024-42450 (CVSS 10): Versa Networks Addresses Critical Vulnerability in Versa Director

2024/11/20 SecurityOnline — Versa Networks が公開したセキュリティ勧告は、Versa Director ソフトウェアに影響を及ぼす深刻な脆弱性 CVE-2024-42450 (CVSS：10.0) に対応するものだ。この脆弱性の悪用に成功した未認証の攻撃者は、機密データへのアクセスや権限を昇格に加えて、脆弱なシステム上での任意のコード実行の可能性を得る。

PostgreSQL の脆弱性 CVE-2024-10979 が FIX：情報漏洩とシステム乗っ取りの恐れ

8.8 Rated PostgreSQL Vulnerability Puts Databases at Risk

2024/11/15 HackRead — PostgreSQL に存在する深刻度の高い脆弱性 CVE-2024-10979 により、世界中の無数のデータベースのセキュリティが、危険に直面するという可能性が生じる。この、広範に使用されている OSS データベース・システムの脆弱性を発見したのは、Varonis のサイバー・セキュリティ研究者である Tal Peleg と Coby Abrams である。

pgAdmin の脆弱性 CVE-2024-9014 (CVSS 9.9) が FIX：OAuth2 認証の問題

CVE-2024-9014 (CVSS 9.9): pgAdmin’s Critical Vulnerability Puts User Data at Risk

2024/09/24 SecurityOnline — PostgreSQL データベースにおける主要 OSS 管理ツールである、pgAdmin に影響を及ぼす深刻な脆弱性に対処する、緊急セキュリティ・アップデートがリリースされた。この脆弱性 CVE-2024-9014 (CVSS：9.9) の悪用に攻撃者は、OAuth2 認証メカニズムを介してユーザー・データを侵害する可能性を手にする。

PostgreSQL の脆弱性 CVE-2024-7348 が FIX：有害な関数の実行を許す

Security Flaw in PostgreSQL: CVE-2024-7348 Allows Arbitrary SQL Execution

2024/08/12 SecurityOnline — PostgreSQL プロジェクトはセキュリティ・アドバイザリを発行し、深刻な脆弱性 CVE-2024-7348 (CVSS：8.8) についてユーザーに警告している。この脆弱性により、pg_dump 操作中に任意の SQL が実行され、権限を昇格させた攻撃者に有害な関数の実行を許す可能性が生じる。

PostgreSQL ドライバ Npgsql の脆弱性 CVE-2024-32655 が FIX：SQLi が生じる恐れ

CVE-2024-32655: SQL Injection Flaw Discovered in Popular PostgreSQL Driver, Npgsql

2024/05/10 SecurityOnline — PostgreSQL データベースに .NET アプリケーションを接続する際に広く利用される、OSS データ・プロバイダーである Npgsql に、深刻な脆弱性 CVE-2024-32655 (CVSS：8.1) が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるアプリケーションに対すしての SQL コマンド・インジェクションが可能となり、データ漏えいや不正アクセスなどの悪意のアクションが実行される可能性が生じる。

PostgreSQL pgAdmin の脆弱性 CVE-2024-4215／4216 が FIX：ただちにパッチを！

CVE-2024-4215 & CVE-2024-4216: Security Flaws Patched in Popular PostgreSQL Tool pgAdmin

2024/05/05 SecurityOnline — 世界で最も先進的な OSS データベースである PostgreSQL における、管理／開発プラットフォームとして有名な pgAdmin で発生した、２つの深刻なセキュリティ脆弱性が FIX した。これらの脆弱性は、バージョン 8.5 以下に存在し、アプリケーション内での不正なアクションやスクリプトの実行を許す可能性があり、ユーザーに深刻なリスクをもたらすものとされる。なお、この脆弱性 CVE-2024-4215／CVE-2024-4216 の CVSS 値は、どちらも 7.4 である。

PostgreSQL pgAdmin の脆弱性 CVE-2024-3116 が FIX：RCE 攻撃の恐れ

CVE-2024-3116: Critical pgAdmin Vulnerability Exposes Databases to Remote Attacks

2024/04/05 SecurityOnline — PostgreSQL データベースの管理のために、世界中で使用されているオープンソース・ツールの pgAdmin に、深刻な脆弱性 CVE-2024-3116 が発見された。この脆弱性の悪用に成功した攻撃者は、pgAdmin を実行しているサーバー上で悪意のコードを実行し、データベース・システム全体を危険にさらす可能性がある。

GitLab の脆弱性 CVE-2023-6371／CVE-2024-2818 が FIX：ただちにパッチを！

GitLab Patches Vulnerabilities, Users Urged to Update Immediately

2024/03/28 SecurityOnline — 人気の DevOps プラットフォームである GitLab において、 Git Management Software バージョン 16.10.1／16.9.3／16.8.5 用の重要なセキュリティ・アップデートがリリースされた。これらのパッチで対処された脆弱性は、悪意のコードの実行から、システムの停止にいたる攻撃を引き起こし、ユーザーを危険にさらす可能性を持つものだ。

PostgreSQL pgAdmin の脆弱性 CVE-2024-2044 が FIX：RCE にいたるおそれ

CVE-2024-2044: pgAdmin Remote Code Execution Vulnerability

2024/03/07 SecurityOnline — 広範に利用されている PostgreSQL の管理ツール pgAdmin に存在する、脆弱性 CVE-2024-2044 に対して、先日にパッチが適用された。この脆弱性は、安全が保証されないデータに対するデシリアライズと、不十分な入力検証に起因するものであり、侵害のリスクが常に存在している状況を浮き彫りにしている。

PostgreSQL JDBC の脆弱性 CVE-2024-1597 が FIX：CVSS 値は 10.0

CVE-2024-1597 (CVSS 10): Critical SQL Injection Flaw in PostgreSQL JDBC Driver

2024/02/20 SecurityOnline — 開発者たちに人気の PostgreSQL データベースに、新たな脆弱性 CVE-2024-1597 (CVSS：10.0) が発見された。この脆弱性が浮き彫りにするのは、予防的なセキュリティ対策の重要性である。ここでは、PostgreSQL JDBCドライバ (pgjdbc) の脆弱性と、その潜在的な影響と、重要な緩和策について探っていく。

PostgreSQL の深刻な脆弱性 CVE-2024-0985 が FIX：直ちにアップデートを！

CVE-2024-0985: PostgreSQL’s Critical Security Flaw Exposed

2024/02/11 SecurityOnline — 広く利用されているデータベース・ソフトウェア PostgreSQL に、深刻なセキュリティ上の欠陥が発見され、企業やシステム管理者に懸念が広がっている。この脆弱性 CVE-2024-0985 (CVSS：8.0) の悪用に成功した攻撃者は、昇格した権限で悪意のコードを実行する可能性がある。

3CX CRM Integration に深刻な SQL 脆弱性 CVE-2023-49954：パッチ提供までの緩和策は？

CVE-2023-49954: Critical SQL Injection Vulnerability in 3CX CRM Integration

2023/12/16 SecurityOnline — 目まぐるしく変化するインターネット・コミュニケーションの世界において、セキュリティの脅威に先手を打つことは、必要不可欠なことだ。最近では、有名な VoIP 通信会社である 3CX が、膨大な量の機密データを危険にさらす可能性のある深刻なセキュリティの脆弱性について、顧客に警告を発している。

PostgreSQL の脆弱性 CVE-2023-5869 などが FIX：任意のコード実行の可能性

CVE-2023-5869: Unpatched PostgreSQL Servers at Risk of Arbitrary Code Execution Attacks

2023/11/14 SecurityOnline — PostgreSQL Global Development Group が、３件のセキュリティ脆弱性の修正を含む、PostgreSQL 16.1／15.5／14.10／13.13／12.17／11.22 をリリースした。これらの脆弱性の悪用に成功した攻撃者は、侵害したシステムの制御や、機密データの窃取を可能すると思われる。

Gentoo Soko の深刻な SQLi の脆弱性 CVE-2023-28424 が FIX：リモートコード実行にいたる

Critical SQL Injection Flaws Expose Gentoo Soko to Remote Code Execution

2023/06/28 TheHackerNews — Gentoo Soko に存在する複数の SQL インジェクションの脆弱性が公開され、脆弱なシステム上ではリモートコード実行 (RCE) につながる可能性があると解説されている。SonarSource の研究者である Thomas Chauchefoin は、「Object-Relational Mapping (ORM) ライブラリとプリペアド・ステートメントを使用しているにもかかわらず、これらの SQL インジェクションの脆弱性は発生している。データベースのミスコンフィグレーションにより、Soko上で RCE が発生する可能性がある」と付け加えている。

Kinsing による Kubernetes 攻撃：PostgreSQL のミスコンフィグを狙っている

Kinsing Cryptojacking Hits Kubernetes Clusters via Misconfigured PostgreSQL

2023/01/09 TheHackerNews — Kinsing クリプト・ジャッキングを操る脅威アクターは、Kubernetes 環境へのイニシャル・アクセスを得るために、露出した PostgreSQL サーバのミスコンフィグレーションを悪用しているという。Microsoft Defender for Cloud のセキュリティ研究者である Sunders Bruskin は、先週のレポートで、「２番目のイニシャル・アクセス・ベクターの手法には、脆弱なイメージの悪用も含まれる」と述べている。

Amazon RDS スナップショットの問題：意図しない共有により PII が漏洩

Thousands of Amazon RDS Snapshots Are Leaking Corporate PII

2022/11/17 DarkReading — Amazon のクラウドベース・データバックアップ・サービスを介して、毎月のように何十万ものデータベースが不注意により公開されている。このような状況を悪用する脅威アクターたちは、個人を特定できる情報 (PII : Personally Identifiable Information) にアクセスし、恐喝やランサムウェアといった脅威のアクティビティに利用されることが、研究者たちにより判明した。

Microsoft Azure Database for PostgreSQL における深刻な脆弱性が FIX

Microsoft fixes ExtraReplica Azure bugs that exposed user databases

2022/04/28 BleepingComputer — Microsoft は、Azure Database for PostgreSQL Flexible Server で見つかった、一連の深刻な脆弱性に対処した。それらの脆弱性の悪用に成功した攻撃者は、認証を回避した後に権限を昇格させ、他の顧客のデータベースにアクセスすることが可能になるというものだ。Azure Database for PostgreSQL の Flexible Server デプロイメント・オプションでは、きめ細かいチューニングや、複数の設定パラメータなど、顧客のデータベースを最大限に制御できるようになっている。