20-Year-Old PostgreSQL Flaw Gets Public PoC Exploit for Remote Code Execution
2026/05/19 gbhackers — PostgreSQL の pgcrypto エクステンションで発見された、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2026-2005 に対して PoC (proof-of-concept) エクスプロイトが公開された。セキュリティ研究者によると、この問題は約 20年前に遡るレガシーコードに起因し、攻撃者に対して権限昇格および任意のコマンド実行を許す可能性がある。
Continue reading “PostgreSQL pgcrypto の RCE 脆弱性 CVE-2026-2005:PoC が登場”Critical PostgreSQL Vulnerabilities Enables Code Execution and SQL Injections
2026/05/19 CyberSecurityNews — PostgreSQL Global Development Group が公開したのは、11 件の脆弱性に対する修正の情報である。すべてのサポート対象ブランチ向けに、PostgreSQL の 18.4/17.10/16.14/15.18/14.23 が、セキュリティ/メンテナンス・アップデートとしてリリースされた。
Continue reading “PostgreSQL の深刻な 11 件の脆弱性が修正:任意のコード実行や SQLi の恐れ”Wiz ZeroDay.Cloud Event Reveals 20-Year-Old PostgreSQL Vulnerabilities
2026/05/04 hackread — Wiz が主催する ZeroDay.Cloud ハッキングイベントにおいて、PostgreSQL に存在する 2 件の深刻な脆弱性の悪用が、サイバーセキュリティ研究者により実証された。このイベントは 2025年12月ロンドンで開催されたが、2026年5月4日になって PostgreSQL の脆弱性の詳細が公開されるに至っている。
Continue reading “PostgreSQL の脆弱性 CVE-2026-2005/2006 が FIX:Wiz の ZeroDay.Cloud イベント”Critical PostgreSQL Vulnerabilities Allow Arbitrary Code Injection During Restoration
2025/08/18 CyberSecurityNews — PostgreSQL Global Development Group が発表したのは、データベースの復元プロセス中に、攻撃者が任意のコード実行を可能にする、深刻な脆弱性 CVE-2025-8713/8714 への対処である。このアップデートにより、サポート対象の全バージョンに対して、緊急セキュリティ更新がリリースされた。これらの脆弱性が影響を及ぼす範囲は、PostgreSQL バージョン 13~17 であり、パッチ提供バージョンは 17.6/16.10/15.14/14.19/13.22 となっている。3件のセキュリティ上の欠陥のうちの2件は、PostgreSQL のバックアップおよび復元手順に依存する組織にとって、きわめて深刻なリスクとなる。
Continue reading “PostgreSQL の脆弱性 CVE-2025-8713/8714/8715 が FIX:任意のコード実行の可能性”Pgpool-II Hit by Critical CVE-2025-46801: CVSS 9.8 Risk Lets Attackers Bypass Authentication
2025/05/16 SecurityOnline — PgPool Global Development Group が発行したのは、PostgreSQL サーバとデータベース・クライアントの間で使用されるミドルウェア Pgpool-II に存在する、深刻度の高い脆弱性に対するセキュリティ・アドバイザリの発行である。この脆弱性 CVE-2025-46801 は、特定のミスコンフィグにより認証バイパスを許すものであり、CVSS スコアは 9.8 となっている。
Continue reading “Pgpool-II の脆弱性 CVE-2025-46801 が FIX:ミスコンフィグによる認証バイパス”2025/05/14 SecurityOnline — Bitnami Pgpool-II Docker image および bitnami/postgres-ha Kubernetes Helm chart に存在する、深刻なセキュリティ脆弱性が確認された。この脆弱性は CVE-2025-22248 として追跡されており、CVSS v4 スコアは 9.4 と評価されている。この脆弱性を悪用する攻撃者は、認証を必要とすることなく、PostgreSQL データベースへアクセスを手にするようだ。
Continue reading “Bitnami Pgpool の脆弱性 CVE-2025-22248 とミスコンフィグ:PostgreSQL への不正アクセスが可能に”Critical SQL Injection Vulnerability Found in ADOdb PHP Library – CVE-2025-46337 (CVSS 10.0)
2025/05/05 SecurityOnline — 世界中で 280万件以上のインストール数を誇る PHP データベースの抽象化ライブラリ ADOdb に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-46337 は、PostgreSQL ドライバの pg_insert_id() メソッドに存在し、脆弱なアプリケーション上での任意の SQL コマンド実行を、攻撃者に許す可能性があるものだ。
Continue reading “ADOdb PHP Library の脆弱性 CVE-2025-46337 (CVSS 10.0) が FIX:深刻な SQLi の恐れ”pgAdmin 4 Vulnerabilities Expose Databases to Remote Code Execution and XSS
2025/04/07 SecurityOnline — 広く利用されている PostgreSQL 管理ツール pgAdmin 4 だが、データベース環境に大きなリスクをもたらす、2つの深刻なセキュリティ脆弱性に対処したところである。最新リリースである、pgAdmin 4 のバージョン 9.2 では、リモート・コード実行 (RCE) 攻撃やクロスサイト・スクリプティング (XSS) 攻撃を許す可能性のある、深刻な欠陥が修正されている。したがって、ユーザーは、速やかにアップデートすべきである。
Continue reading “pgAdmin 4 の脆弱性 CVE-2025-2945/2946 が FIX:きわめて深刻な RCE と XSS”Over 1,500 PostgreSQL Servers Compromised in Fileless Cryptocurrency Mining Campaign
2025/04/01 TheHackerNews — インターネットに露出する PostgreSQL インスタンスが、進行中のキャンペーンのターゲットにされているが、その目的は、不正アクセスの取得と、暗号通貨マイナーの展開にあるという。クラウド・セキュリティ企業 Wiz によると、2024年8月の時点で Aqua Security がフラグを付けた、侵入セットの亜種による活動が検出され、PG_MEM と呼ばれるマルウェア株が展開されているという。このキャンペーンは、Wiz が JINX-0126として追跡している、脅威アクターによるものとされる。
Continue reading “PostgreSQL のインスタンス 1,500+ を悪用:XMRig をファイルレスで展開するキャンペーンとは?”CVE-2024-55963: Appsmith’s Default PostgreSQL Misconfiguration Leads to RCE, PoC Releases
2025/03/27 SecurityOnline — 先日に Rhino Security Labs が公表したのは、Appsmith 製品のデフォルト・インストールに影響を及ぼす、一連の重大な脆弱性に関する詳細な情報である。これらの脆弱性のうちで、最も深刻なものは CVE-2024-55963 であり、デフォルトで取り込まれている PostgreSQL データベースのミスコンフィグにより、未認証の攻撃者に対してリモート・コード実行を許すものである。
Continue reading “Appsmith の脆弱性 CVE-2024-55963 などが FIX:PostgreSQL ミスコンフィグと RCE PoC”CVE-2025-26701 (CVSS 10): Percona PMM OVA Users at Risk of Unauthorized Access
2025/03/14 SecurityOnline — Percona Monitoring and Management (PMM) の、Open Virtual Appliance (OVA) に深刻なセキュリティ脆弱性が発見され、そのデータベース環境に深刻なリスクが生じている。この脆弱性 CVE-2025-26701 (CVSS:10.o) の悪用に成功した攻撃者は、不正なルート・アクセスを達成し、機密性の高いシステム認証情報を漏洩させる可能性を得るという。
Continue reading “Percona PMM OVA の脆弱性 CVE-2025-26701 (CVSS 10) が FIX:ルート認証情報の漏洩”Rapid7 Flags New PostgreSQL Zero-Day Connected to BeyondTrust Exploitation
2025/02/13 SecurityWeek — 2月13日 (木) に Rapid7 のセキュリティ研究者たちにより、PostgreSQL に新たなゼロデイ脆弱性が発見されたが、BeyondTrust リモート・サポート製品に対する一連の攻撃において、この欠陥は重要な構成要素だったようだ。
Continue reading “PostgreSQL ゼロデイ脆弱性 CVE-2025-1094:BeyondTrust を介した米財務省侵害の原因か?”CVE-2024-42450 (CVSS 10): Versa Networks Addresses Critical Vulnerability in Versa Director
2024/11/20 SecurityOnline — Versa Networks が公開したセキュリティ勧告は、Versa Director ソフトウェアに影響を及ぼす深刻な脆弱性 CVE-2024-42450 (CVSS:10.0) に対応するものだ。この脆弱性の悪用に成功した未認証の攻撃者は、機密データへのアクセスや権限を昇格に加えて、脆弱なシステム上での任意のコード実行の可能性を得る。
Continue reading “Versa Director の重大な脆弱性 CVE-2024-42450 (CVSS 10.0) が FIX:直ちにアップデートを!”8.8 Rated PostgreSQL Vulnerability Puts Databases at Risk
2024/11/15 HackRead — PostgreSQL に存在する深刻度の高い脆弱性 CVE-2024-10979 により、世界中の無数のデータベースのセキュリティが、危険に直面するという可能性が生じる。この、広範に使用されている OSS データベース・システムの脆弱性を発見したのは、Varonis のサイバー・セキュリティ研究者である Tal Peleg と Coby Abrams である。
Continue reading “PostgreSQL の脆弱性 CVE-2024-10979 が FIX:情報漏洩とシステム乗っ取りの恐れ”CVE-2024-9014 (CVSS 9.9): pgAdmin’s Critical Vulnerability Puts User Data at Risk
2024/09/24 SecurityOnline — PostgreSQL データベースにおける主要 OSS 管理ツールである、pgAdmin に影響を及ぼす深刻な脆弱性に対処する、緊急セキュリティ・アップデートがリリースされた。この脆弱性 CVE-2024-9014 (CVSS:9.9) の悪用に攻撃者は、OAuth2 認証メカニズムを介してユーザー・データを侵害する可能性を手にする。
Continue reading “pgAdmin の脆弱性 CVE-2024-9014 (CVSS 9.9) が FIX:OAuth2 認証の問題”Security Flaw in PostgreSQL: CVE-2024-7348 Allows Arbitrary SQL Execution
2024/08/12 SecurityOnline — PostgreSQL プロジェクトはセキュリティ・アドバイザリを発行し、深刻な脆弱性 CVE-2024-7348 (CVSS:8.8) についてユーザーに警告している。この脆弱性により、pg_dump 操作中に任意の SQL が実行され、権限を昇格させた攻撃者に有害な関数の実行を許す可能性が生じる。
Continue reading “PostgreSQL の脆弱性 CVE-2024-7348 が FIX:有害な関数の実行を許す”CVE-2024-32655: SQL Injection Flaw Discovered in Popular PostgreSQL Driver, Npgsql
2024/05/10 SecurityOnline — PostgreSQL データベースに .NET アプリケーションを接続する際に広く利用される、OSS データ・プロバイダーである Npgsql に、深刻な脆弱性 CVE-2024-32655 (CVSS:8.1) が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるアプリケーションに対すしての SQL コマンド・インジェクションが可能となり、データ漏えいや不正アクセスなどの悪意のアクションが実行される可能性が生じる。
Continue reading “PostgreSQL ドライバ Npgsql の脆弱性 CVE-2024-32655 が FIX:SQLi が生じる恐れ”CVE-2024-4215 & CVE-2024-4216: Security Flaws Patched in Popular PostgreSQL Tool pgAdmin
2024/05/05 SecurityOnline — 世界で最も先進的な OSS データベースである PostgreSQL における、管理/開発プラットフォームとして有名な pgAdmin で発生した、2つの深刻なセキュリティ脆弱性が FIX した。これらの脆弱性は、バージョン 8.5 以下に存在し、アプリケーション内での不正なアクションやスクリプトの実行を許す可能性があり、ユーザーに深刻なリスクをもたらすものとされる。なお、この脆弱性 CVE-2024-4215/CVE-2024-4216 の CVSS 値は、どちらも 7.4 である。
Continue reading “PostgreSQL pgAdmin の脆弱性 CVE-2024-4215/4216 が FIX:ただちにパッチを!”CVE-2024-3116: Critical pgAdmin Vulnerability Exposes Databases to Remote Attacks
2024/04/05 SecurityOnline — PostgreSQL データベースの管理のために、世界中で使用されているオープンソース・ツールの pgAdmin に、深刻な脆弱性 CVE-2024-3116 が発見された。この脆弱性の悪用に成功した攻撃者は、pgAdmin を実行しているサーバー上で悪意のコードを実行し、データベース・システム全体を危険にさらす可能性がある。
Continue reading “PostgreSQL pgAdmin の脆弱性 CVE-2024-3116 が FIX:RCE 攻撃の恐れ”GitLab Patches Vulnerabilities, Users Urged to Update Immediately
2024/03/28 SecurityOnline — 人気の DevOps プラットフォームである GitLab において、 Git Management Software バージョン 16.10.1/16.9.3/16.8.5 用の重要なセキュリティ・アップデートがリリースされた。これらのパッチで対処された脆弱性は、悪意のコードの実行から、システムの停止にいたる攻撃を引き起こし、ユーザーを危険にさらす可能性を持つものだ。
Continue reading “GitLab の脆弱性 CVE-2023-6371/CVE-2024-2818 が FIX:ただちにパッチを!”CVE-2024-2044: pgAdmin Remote Code Execution Vulnerability
2024/03/07 SecurityOnline — 広範に利用されている PostgreSQL の管理ツール pgAdmin に存在する、脆弱性 CVE-2024-2044 に対して、先日にパッチが適用された。この脆弱性は、安全が保証されないデータに対するデシリアライズと、不十分な入力検証に起因するものであり、侵害のリスクが常に存在している状況を浮き彫りにしている。
Continue reading “PostgreSQL pgAdmin の脆弱性 CVE-2024-2044 が FIX:RCE にいたるおそれ”CVE-2024-1597 (CVSS 10): Critical SQL Injection Flaw in PostgreSQL JDBC Driver
2024/02/20 SecurityOnline — 開発者たちに人気の PostgreSQL データベースに、新たな脆弱性 CVE-2024-1597 (CVSS:10.0) が発見された。この脆弱性が浮き彫りにするのは、予防的なセキュリティ対策の重要性である。ここでは、PostgreSQL JDBCドライバ (pgjdbc) の脆弱性と、その潜在的な影響と、重要な緩和策について探っていく。
Continue reading “PostgreSQL JDBC の脆弱性 CVE-2024-1597 が FIX:CVSS 値は 10.0”CVE-2024-0985: PostgreSQL’s Critical Security Flaw Exposed
2024/02/11 SecurityOnline — 広く利用されているデータベース・ソフトウェア PostgreSQL に、深刻なセキュリティ上の欠陥が発見され、企業やシステム管理者に懸念が広がっている。この脆弱性 CVE-2024-0985 (CVSS:8.0) の悪用に成功した攻撃者は、昇格した権限で悪意のコードを実行する可能性がある。
Continue reading “PostgreSQL の深刻な脆弱性 CVE-2024-0985 が FIX:直ちにアップデートを!”CVE-2023-49954: Critical SQL Injection Vulnerability in 3CX CRM Integration
2023/12/16 SecurityOnline — 目まぐるしく変化するインターネット・コミュニケーションの世界において、セキュリティの脅威に先手を打つことは、必要不可欠なことだ。最近では、有名な VoIP 通信会社である 3CX が、膨大な量の機密データを危険にさらす可能性のある深刻なセキュリティの脆弱性について、顧客に警告を発している。
Continue reading “3CX CRM Integration に深刻な SQL 脆弱性 CVE-2023-49954:パッチ提供までの緩和策は?”CVE-2023-5869: Unpatched PostgreSQL Servers at Risk of Arbitrary Code Execution Attacks
2023/11/14 SecurityOnline — PostgreSQL Global Development Group が、3件のセキュリティ脆弱性の修正を含む、PostgreSQL 16.1/15.5/14.10/13.13/12.17/11.22 をリリースした。これらの脆弱性の悪用に成功した攻撃者は、侵害したシステムの制御や、機密データの窃取を可能すると思われる。
Continue reading “PostgreSQL の脆弱性 CVE-2023-5869 などが FIX:任意のコード実行の可能性”Critical SQL Injection Flaws Expose Gentoo Soko to Remote Code Execution
2023/06/28 TheHackerNews — Gentoo Soko に存在する複数の SQL インジェクションの脆弱性が公開され、脆弱なシステム上ではリモートコード実行 (RCE) につながる可能性があると解説されている。SonarSource の研究者である Thomas Chauchefoin は、「Object-Relational Mapping (ORM) ライブラリとプリペアド・ステートメントを使用しているにもかかわらず、これらの SQL インジェクションの脆弱性は発生している。データベースのミスコンフィグレーションにより、Soko上で RCE が発生する可能性がある」と付け加えている。
Continue reading “Gentoo Soko の深刻な SQLi の脆弱性 CVE-2023-28424 が FIX:リモートコード実行にいたる”Kinsing Cryptojacking Hits Kubernetes Clusters via Misconfigured PostgreSQL
2023/01/09 TheHackerNews — Kinsing クリプト・ジャッキングを操る脅威アクターは、Kubernetes 環境へのイニシャル・アクセスを得るために、露出した PostgreSQL サーバのミスコンフィグレーションを悪用しているという。Microsoft Defender for Cloud のセキュリティ研究者である Sunders Bruskin は、先週のレポートで、「2番目のイニシャル・アクセス・ベクターの手法には、脆弱なイメージの悪用も含まれる」と述べている。
Continue reading “Kinsing による Kubernetes 攻撃:PostgreSQL のミスコンフィグを狙っている”Thousands of Amazon RDS Snapshots Are Leaking Corporate PII
2022/11/17 DarkReading — Amazon のクラウドベース・データバックアップ・サービスを介して、毎月のように何十万ものデータベースが不注意により公開されている。このような状況を悪用する脅威アクターたちは、個人を特定できる情報 (PII : Personally Identifiable Information) にアクセスし、恐喝やランサムウェアといった脅威のアクティビティに利用されることが、研究者たちにより判明した。
Continue reading “Amazon RDS スナップショットの問題:意図しない共有により PII が漏洩”Microsoft fixes ExtraReplica Azure bugs that exposed user databases
2022/04/28 BleepingComputer — Microsoft は、Azure Database for PostgreSQL Flexible Server で見つかった、一連の深刻な脆弱性に対処した。それらの脆弱性の悪用に成功した攻撃者は、認証を回避した後に権限を昇格させ、他の顧客のデータベースにアクセスすることが可能になるというものだ。Azure Database for PostgreSQL の Flexible Server デプロイメント・オプションでは、きめ細かいチューニングや、複数の設定パラメータなど、顧客のデータベースを最大限に制御できるようになっている。
Continue reading “Microsoft Azure Database for PostgreSQL における深刻な脆弱性が FIX”
IoT OT Security News 