CVE-2025-8714

Untrusted data inclusion in pg_dump in PostgreSQL allows a malicious superuser of the origin server to inject arbitrary code for restore-time execution as the client operating system account running psql to restore the dump, via psql meta-commands. pg_dumpall is also affected. pg_restore is affected when used to generate a plain-format dump. This is similar to MySQL CVE-2024-21096. Versions before PostgreSQL 17.6, 16.10, 15.14, 14.19, and 13.22 are affected.

CVSS v3 8.8 HIGH

8.8^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://www.postgresql.org/support/security/CVE-2025-8714/

Configurations

No configuration.

History

15 Apr 2026, 00:35

Type	Values Removed	Values Added
Summary		(es) La inclusión de datos no confiables en pg_dump en PostgreSQL permite que un superusuario malicioso del servidor de origen inyecte código arbitrario para su ejecución en tiempo de restauración como la cuenta del sistema operativo cliente que ejecuta psql para restaurar el volcado, mediante metacomandos psql. pg_dumpall también se ve afectado. pg_restore se ve afectado cuando se utiliza para generar un volcado en formato plano. Esto es similar a MySQL CVE-2024-21096. Las versiones anteriores a PostgreSQL 17.6, 16.10, 15.14, 14.19 y 13.22 también se ven afectadas.

14 Aug 2025, 13:15

Type	Values Removed	Values Added
New CVE

Information

Published : 2025-08-14 13:15

Updated : 2026-04-15 00:35

NVD link : CVE-2025-8714

Mitre link : CVE-2025-8714

CVE.ORG link : CVE-2025-8714

JSON object : View

Products Affected

No product.

CWE

CWE-829

Inclusion of Functionality from Untrusted Control Sphere

8.8 /10