PostgreSQL Global Development Group は、PostgreSQL 17.6/16.10/15.14/14.19/13.22 と、PostgreSQL 18 Beta 3 を公開しました。今回のリリースでは3件のセキュリティ修正と、過去数か月で報告された55件超の不具合修正が含まれます。あわせて PostgreSQL 13 は 2025年11月13日にサポート終了(EOL) となる旨が告知されています。
影響範囲と優先度
セキュリティ修正は 13〜17 の全系統が対象。18 Beta 3 にも修正を取り込み済み。
実運用では、CVE-2025-8714/8715(いずれも CVSS 8.8)を最優先にアップデートしてください。ダンプ/復元は CI や運用自動化に組み込まれていることが多く、復元はコード実行の場になり得る”という前提での対策が必要です。
修正された脆弱性(CVE)
-
CVE-2025-8714(CVSS 8.8)
pg_dump/pg_dumpall によるダンプへ“信頼できないデータ”が混入すると、復元時に psql クライアントの OS 権限で任意コード実行が起こり得る問題。pg_restore で“プレーン形式”を生成する場合も影響します。攻撃シナリオとしては、“ダンプ元サーバの悪意ある(または侵害された)スーパーユーザー”が仕掛ける形。 -
CVE-2025-8715(CVSS 8.8)
オブジェクト名内の改行の無害化不備により、pg_dump/pg_dumpall/pg_restore/pg_upgrade を悪用して、復元時の任意コード実行や復元先サーバ側の SQL インジェクション(スーパーユーザー権限)に繋がる問題。v11.20 で過去修正(CVE-2012-0868)の再導入があり、13〜17 が影響。 - CVE-2025-8713(CVSS 3.1)
オプティマイザ統計(ヒストグラムや最頻値リスト)を介して、本来アクセスできないビュー配下や行レベルセキュリティで隠すはずのデータのサンプルが読めてしまう問題。13〜17 が対象。過去の同種対策(CVE-2017-7484/CVE-2019-10130)の隙間を突かれた形で、“リーキーな演算子” を細工されるとアクセス制御を迂回され得ました。








