Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-14083

Опубликовано: 13 нояб. 2025
Источник: fstec
CVSS3: 3.1
CVSS2: 2.1
EPSS Низкий

Описание

Уязвимость функции CREATE STATISTICS системы управления базами данных PostgreSQL связана с недостатками разграничения доступа. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

Postgres Professional
PostgreSQL Global Development Group

Наименование ПО

Postgres Pro Certified
PostgreSQL

Версия ПО

до 18.1 (Postgres Pro Certified)
до 17.7 (Postgres Pro Certified)
до 16.11 (Postgres Pro Certified)
до 15.15 (Postgres Pro Certified)
до 14.20 (Postgres Pro Certified)
до 18.1 (PostgreSQL)
до 17.7 (PostgreSQL)
до 16.11 (PostgreSQL)
до 15.15 (PostgreSQL)
до 14.20 (PostgreSQL)
до 13.23 (PostgreSQL)

Тип ПО

СУБД

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 2,1)
Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 3,1)
Низкий уровень опасности (оценка CVSS 4.0 составляет 2,3)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для PosgreSQL:
https://www.postgresql.org/support/security/CVE-2025-12817
Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 10%
0.00035
Низкий

3.1 Low

CVSS3

2.1 Low

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2025-12817

CVSS3: 3.1
ubuntu
7 дней назад

[Check for CREATE privileges on the schema in CREATE STATISTICS]

nvd логотип

CVE-2025-12817

CVSS3: 3.1
nvd
6 дней назад

Missing authorization in PostgreSQL CREATE STATISTICS command allows a table owner to achieve denial of service against other CREATE STATISTICS users by creating in any schema. A later CREATE STATISTICS for the same name, from a user having the CREATE privilege, would then fail. Versions before PostgreSQL 18.1, 17.7, 16.11, 15.15, 14.20, and 13.23 are affected.

msrc логотип

CVE-2025-12817

CVSS3: 3.1
msrc
5 дней назад

PostgreSQL CREATE STATISTICS does not check for schema CREATE privilege

debian логотип

CVE-2025-12817

CVSS3: 3.1
debian
6 дней назад

Missing authorization in PostgreSQL CREATE STATISTICS command allows a ...

github логотип

GHSA-99qj-9hw7-85x8

CVSS3: 3.1
github
6 дней назад

Missing authorization in PostgreSQL CREATE STATISTICS command allows a table owner to achieve denial of service against other CREATE STATISTICS users by creating in any schema. A later CREATE STATISTICS for the same name, from a user having the CREATE privilege, would then fail. Versions before PostgreSQL 18.1, 17.7, 16.11, 15.15, 14.20, and 13.23 are affected.

EPSS

Процентиль: 10%
0.00035
Низкий

3.1 Low

CVSS3

2.1 Low

CVSS2