PostgreSQLのpgdumpに3つの脆弱性 全バージョンに影響：セキュリティニュースアラート

PostgreSQLプロジェクトは「PostgreSQL」の全サポートバージョンに影響を及ぼす複数の深刻な脆弱性を公開した。これらを悪用されると、悪質なプログラムが実行されたり、SQLインジェクション攻撃を実行されたりするリスクがある。

[後藤大地，有限会社オングス]

　PostgreSQLプロジェクトは2025年8月14日（現地時間）、「PostgreSQL」の全サポートバージョンに影響を及ぼす複数の深刻な脆弱（ぜいじゃく）性に対応したことを発表した。セキュリティアドバイザリーによると、このリリースでは3件の脆弱性が修正されている。

全サポートバージョンに影響する3つの脆弱性とは？

　修正対象の脆弱性は次の通り。

• CVE-2025-8713：　PostgreSQLオプティマイザの統計情報に存在する脆弱性。統計情報とは、クエリを効率化するためにデータの内容をまとめた情報で、この脆弱性により攻撃者に本来アクセスできないはずのビューやセキュリティポリシーの保護データが読み取られる可能性がある。共通脆弱性評価システム（CVSS）のスコアは3.1で、深刻度「注意」（LOW）と評価されている
• CVE-2025-8714：　PostgreSQLの「pg_dump」に存在する脆弱性。この脆弱性によって攻撃者に不正なデータをバックアップに仕込まれると、そのデータを復元する際に悪質なプログラムが実行される可能性がある。「pg_dumpall」や「pg_restore」にも同様の脆弱性が存在する。CVSSv3.1のスコアは8.8で深刻度「重要」（High）と評価されている
• CVE-2025-8715：　PostgreSQLのpg_dumpに存在する脆弱性。バックアップデーターに細工コードを埋め込まれると、それを復元する際にクライアントで悪意のあるプログラムが実行される可能性がある。また、復元先のサーバでSQLインジェクション攻撃を受ける可能性もある。pg_dumpallやpg_restore、「pg_upgrade」にも同様の脆弱性が存在する。CVSSv3.1のスコアは8.8で深刻度「重要」（High）と評価されている

　影響を受けるバージョンは次の通りだ。

• PostgreSQL 13.22より前のバージョン
• PostgreSQL 14.19より前のバージョン
• PostgreSQL 15.14より前のバージョン
• PostgreSQL 16.10より前のバージョン
• PostgreSQL 17.6より前のバージョン

　修正されているバージョンは次の通りだ。

• PostgreSQL 13.22およびこれ以降のバージョン
• PostgreSQL 14.19およびこれ以降のバージョン
• PostgreSQL 15.14およびこれ以降のバージョン
• PostgreSQL 16.10およびこれ以降のバージョン
• PostgreSQL 17.6およびこれ以降のバージョン

　修正済みバージョンではこれらの脆弱性の他に55件以上のバグも修正されている。該当のバージョンを使用している場合には速やかにセキュリティ情報を確認し、迅速なアップデートが推奨される。