Pesquisadores da Rapid7 descobriram que o grupo de cibercriminosos responsável pela exploração da vulnerabilidade zero day nos produtos BeyondTrust Privileged Remote Access (PRA) e Remote Support (RS) em dezembro de 2024 provavelmente também explorou uma falha de injeção de SQL previamente desconhecida no PostgreSQL. A vulnerabilidade, rastreada como CVE-2025-1094 (CVSS 8.1), afeta a ferramenta interativa psql do PostgreSQL.

De acordo com o pesquisador de segurança Stephen Fewer, um invasor capaz de gerar uma injeção de SQL via CVE-2025-1094 pode executar código arbitrário ao explorar um comando especial do psql que permite a execução de comandos no sistema operacional. A Rapid7 identificou essa vulnerabilidade ao investigar a CVE-2024-12356, uma falha recém-corrigida no software da BeyondTrust que possibilita execução remota de código sem autenticação.

Durante a análise, a empresa constatou que um ataque bem-sucedido à CVE-2024-12356 dependia da exploração da falha no PostgreSQL (CVE-2025-1094) para alcançar a execução de código remoto. O problema ocorre devido a uma falha na manipulação de caracteres UTF-8 inválidos pelo PostgreSQL, permitindo que um invasor utilize o comando especial “!” para executar comandos no shell. Dessa forma, a exploração da vulnerabilidade concede controle total sobre o sistema. Os especialistas alertam para a importância de aplicar as correções imediatamente, reduzindo a superfície de ataque e prevenindo explorações futuras.