CVE-2025-59470
CVE-2025-59470
En resumen
Un Operador de Copia de Seguridad puede ejecutar código malicioso en el servidor como usuario postgres enviando parámetros interval u order manipulados. Esto es crítico porque permite que un usuario interno obtenga control completo del sistema de base de datos.
Detalle técnico
CWE-77 (Neutralización Inadecuada de Elementos Especiales usados en Comando) permite que un Operador de Copia de Seguridad logre RCE como usuario postgres a través de parámetros interval u order malicioso. El ataque requiere credenciales válidas de Operador de Copia de Seguridad, pero resulta en compromiso total del sistema bajo el contexto del proceso de base de datos.
Resumen generado y traducido por IA a partir de la descripción oficial.
This vulnerability allows a Backup Operator to perform remote code execution (RCE) as the postgres user by sending a malicious interval or order parameter.
CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:L
Productos afectados
Veeam · Backup and RecoveryPoCs públicas encontradas — 1
githubgithub.com/George0Papasotiriou/CVE-2025-59470-PostgreSQL-Command-Injection★ 1⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.
¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →Referencias
https://www.veeam.com/kb4792