Aralık 2024’te BeyondTrust Privileged Remote Access (PRA) ve Remote Support (RS) yazılımlarındaki sıfırıncı gün açığını istismar eden tehdit aktörlerinin, aynı zamanda PostgreSQL’de daha önce bilinmeyen bir SQL enjeksiyon açığını da kullandığı ortaya çıktı. Rapid7 tarafından yapılan araştırmaya göre, bu güvenlik açığı CVE-2025-1094 olarak takip ediliyor ve 8.1 CVSS puanına sahip.

Bu zafiyet, PostgreSQL’in psql adlı interaktif aracında tespit edildi. Güvenlik araştırmacısı Stephen Fewer, açığın kötüye kullanılması durumunda saldırganların meta-komutları çalıştırarak keyfi kod yürütme (ACE) gerçekleştirebileceğini belirtiyor.

Söz konusu güvenlik açığı, CVE-2024-12356 olarak bilinen ve BeyondTrust yazılımlarında tespit edilen, kimlik doğrulama gerektirmeden uzaktan kod çalıştırmaya olanak tanıyan başka bir zafiyetin incelenmesi sırasında keşfedildi. Araştırmacılar, CVE-2024-12356’nın başarılı bir şekilde istismar edilebilmesi için CVE-2025-1094 açığının da kullanılması gerektiğini tespit etti.

Bu gelişmelerin ardından PostgreSQL geliştiricileri, açığı gidermek için yeni güncellemeler yayınladı. Güncellemeler şu sürümlerde düzeltildi:

• PostgreSQL 17 (17.3 sürümünde düzeltildi)
• PostgreSQL 16 (16.7 sürümünde düzeltildi)
• PostgreSQL 15 (15.11 sürümünde düzeltildi)
• PostgreSQL 14 (14.16 sürümünde düzeltildi)
• PostgreSQL 13 (13.19 sürümünde düzeltildi)

Bu güvenlik açığı, PostgreSQL’in geçersiz UTF-8 karakterlerini işleme şekliyle ilgili bir hatadan kaynaklanıyor. Saldırganlar, bu zafiyeti kullanarak “!” kısayol komutuyla kabuk (shell) komutlarını çalıştırabiliyor.

Stephen Fewer, saldırganların CVE-2025-1094’ü kullanarak sistem kabuğunu kontrol edebileceklerini ve istedikleri komutları çalıştırabileceklerini belirtiyor. Aynı zamanda, SQL enjeksiyonu gerçekleştiren saldırganların istediği SQL sorgularını çalıştırarak veritabanı üzerinde tam kontrol elde edebileceği ifade ediliyor.

Bu gelişmelerin yanı sıra, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), SimpleHelp uzaktan destek yazılımında tespit edilen CVE-2024-57727 güvenlik açığını (CVSS puanı: 7.5) Bilinen İstismar Edilen Zafiyetler (KEV) kataloğuna ekledi. Federal kurumlara, bu güvenlik açığını kapatacak yamaları 6 Mart 2025 tarihine kadar uygulamaları gerektiği bildirildi.