PostgreSQL暴露采样数据漏洞CVE-2025-8713

PostgreSQL是一种特性非常齐全的自由软件的对象-关系型数据库管理系统（ORDBMS），该系统不仅功能非常强大的，且源代码开放。

一、基本情况

PostgreSQL支持大部分的SQL标准并且提供了很多其他现代特性，如复杂查询、外键、触发器、视图、事务完整性、多版本并发控制等。

PostgreSQL可以用许多方法扩展，如通过增加新的数据类型、函数、操作符、聚集函数、索引方法、过程语言等，任何人都能免费使用。

栋科技漏洞库关注到PostgreSQL优化器统计信息的视图、分区或子表暴露采样数据漏洞，现追踪为CVE-2025-8713，CVSS 3.1评分3.1。

二、漏洞分析

CVE-2025-8713是PostgreSQL中的优化器统计信息在视图、分区或子表暴露采样数据漏洞，允许用户读取用户无法访问的视图采样数据。

PostgreSQL通过采样列中的可用数据来维护表的统计数据；在查询计划过程中会参考这些数据，CVE-2025-8713漏洞使得这些限制失效。

在此版本之前，用户可利用该漏洞创建一个泄漏运算符，绕过视图访问控制列表（ACL），绕过分区或表继承层次结构中的行安全策略。

这使得PostgreSQL优化器统计允许用户读取用户无法访问的视图采样数据。另外统计数据允许用户读取行安全策略意图隐藏的采样数据。

PostgreSQL 17.6、16.10、15.14、14.19和13.22之前的版本都会受该漏洞的影响，可获取的统计数据主要包括直方图和最常见的值列表。

PostgreSQL项目感谢Dean Rasheed报告了这一漏洞，尽管CVE-2017-7484和CVE-2019-10130旨在关闭此类漏洞，但这一漏洞仍然存在。

三、影响范围

PostgreSQL <= 17.6

PostgreSQL <= 16.10

PostgreSQL <= 15.14

PostgreSQL <= 14.19

PostgreSQL <= 13.22

四、修复建议

PostgreSQL > 17.6

五、参考链接

管理员已设置登录后刷新可查看