اختراق خزينة الولايات المتحدة عبر ثغرة يوم صفر في PostgreSQL عمرها عشر سنوات
2025-03-17
تعرضت خزينة الولايات المتحدة لخرق بيانات تم استغلاله عبر ثغرة حقن SQL في PostgreSQL عمرها عشر سنوات تقريبًا. لم يكن الهجوم مجرد حقن SQL بسيط ؛ بل استغل إخراج طريقة إزالة الأحرف الخاصة من سلسلة نصية داخلية في Postgres تم تغذيتها مباشرةً في أداة سطر الأوامر psql. استخدم المهاجمون بايتين ، `c0 27`، لتجاوز أداة PAM من Beyond Trust ووظيفة pg_escape_string ، مما منحهم التحكم الكامل في psql وتنفيذ أوامر نظام تعسفية. يبرز هذا مدى خطورة الثغرات الأمنية الدقيقة وطويلة الأمد ، حتى في المشاريع مفتوحة المصدر التي تخضع لفحص دقيق ، والتي قد تؤدي إلى انتهاكات أمنية خطيرة.
التكنولوجيا
ثغرة أمنية في PostgreSQL