در تاریخ ۱۳ فوریهی ۲۰۲۵ آسیبپذیری جدیدی با نام CVE-2025-1094 برای پایگاه دادهی PostgreSQL اعلام شد؛ آسیب پذیریای که میتواند به دسترسی مهاجمان به کل دیتابیس و دادههای آن منجر شود. آروانکلاد این آسیبپذیری را در کوتاهترین زمان شناسایی کرد و با بهرهگیری از ویژگی Automatic Update/Upgrade، بدون ایجاد اختلال در سرویس کاربران دیتابیس ابری این آسیبپذیری رفع شد.
شرح این آسیبپذیری
این آسیبپذیری بر مبنای این تصور اشتباه بود که «هنگامی که با استفاده از توابع PostgreSQL String Escaping مانند PQescapeString ورودیهای یک کاربر (یا مهاجم) امن سازی شد دیگر امکان وقوع حملات SQL-Injection از این طریق وجود ندارد».
اما در این آسیبپذیری مشخص شد در حالتی که ورودی مورد نظر با استفاده از ابزار PSQL روی سرور اجرا شود این حملات همچنان امکان پذیر و دادهها در خطر است.
ریشهی این مشکل نیز در نحوهی برخورد توابع نامبرده با کاراکترهای غیرمجاز UTF-8 و همچنین نحوهی پردازش رشته بایتهای غیرمجاز داخل این کاراکترها توسط ابزار PSQL قرار دارد، که مهاجم با استفاده از این دو مشکل میتواند حملهای از نوع SQL-Injection انجام دهد.
همچنین مهاجمی که از این حفرهی امنیتی استفاده میکند میتواند با استفاده از تواناییهای ابزار PSQL برای اجرای Meta-Commandها -که کامندهایی برای گسترش قابلیتهای این ابزار هستند- به Arbitrary Code Execution (ACE) نیز دست پیدا کند. یکی از خطرناکترین این کامندها، !\ است که توانایی اجرای OS Shell Commandها را فراهم میکند و به مهاجم امکان کنترل کامندهای اجرا شده از این طریق را نیز میدهد؛ که این به معنای نفوذ و دسترسی در سطح سیستم عامل است.
چه کسانی تحت تاثیر قرار میگیرند؟
تمامی نسخه های قبل از PostgreSQL 17.3, 16.7, 15.11, 14.16, 13.19 تحت تاثیر این آسیبپذیری قرار میگیرند.
راهحلها
- کاربرانی که از دیتابیس ابری آروانکلاد استفاده نمیکنند:
برای حل این مشکل باید کدهای مربوط به استفاده از توابع PostgreSQL String Escaping را اصلاح کرده و از نحوهی Encoding اطمینان پیدا کنند. راهحل دیگر ارتقای ورژن دیتابیس به یکی از ورژنهای ۱۷.۳, ۱۶.۷, ۱۵.۱۱, ۱۴.۱۶, ۱۳.۱۹ است. - کاربران دیتابیس ابری آروانکلاد:
کاربران دیتابیس ابری آروانکلاد بدون انجام روشهای بالا میتوانند از این آسیبپذیری مصون بمانند. ویژگی Automatic Update/Upgrade دیتابیس ابری آروانکلاد بدون هیچگونه اختلال در عملکرد سرویس و ایجاد Downtime یا Data Loss بهشکل خودکار بهروزرسانیهای مورد نظر را انجام میدهد.
در محصول دیتابیس ابری آروان کلاد، در تاریخ ۱۷/۰۲/۲۰۲۵ این بهروزرسانی بهشکل اتوماتیک انجام شده است. با توجه به اهمیت بالای این آسیبپذیری، پس از اعلام شناسایی آن، به سرعت مقدمات انجام این بهروزرسانی فراهم و سپس انجام شد. دیتابیس ابری آروان کلاد با داشتن ویژگی Automatic Update/Upgrade این امکان را برای کاربران فراهم کرده است که بدون نیاز به داشتن دغدغه در رابطه با آپدیتهای مهم، بهویژه موارد مهم امنیتی، روی توسعهی کسبوکار خودشان تمرکز کنند. از مزیتهای مهم Automatic Upgrade دیتابیس ابری آروان کلاد، انجام بهروزرسانی بدون ایجاد اختلالی در سرویس است؛ بهطوری که Upgrade دیتابیس بدون Downtime، بدون Data Loss و همچنین بدون نیاز به مداخلهی کاربر انجام می شود.
