PostgreSQL 引用 API 在文本编码验证失败时未能中和引用语法(CVE-2025-1094)

PostgreSQL libpq 函数 PQescapeLiteral\(\)、PQescapeIdentifier\(\)、PQescapeString\(\) 和 PQescapeStringConn\(\) 中的引用语法未正确中和，允许数据库输入提供者在某些使用模式下实现 SQL 注入。具体来说，SQL 注入需要应用程序使用函数结果来构建输入到 psql，即 PostgreSQL 交互式终端。同样，PostgreSQL 命令行实用程序中的引用语法未正确中和，允许命令行参数的来源在 client\_encoding 是 BIG5 且 server\_encoding 是 EUC\_TW 或 MULE\_INTERNAL 之一时实现 SQL 注入。受影响的版本包括 PostgreSQL 17.3、16.7、15.11、14.16 和 13.19 之前的版本。

万户OA govdocumentmanager_sendfile_gd SQL注入漏洞

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

万户OA selectPopTable SQL注入漏洞

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

万户OA public/iSignatureHTML.jsp/Service.jsp 存在SQL注入漏洞

SQL注入漏洞是指攻击者通过在Web应用程序的输入字段中插入恶意SQL代码，从而绕过应用程序的安全措施，直接对数据库执行非法操作。这种漏洞通常发生在应用程序未对用户输入进行充分验证和过滤的情况下，使得攻击者能够获取、修改或删除数据库中的数据，甚至可能执行服务器上的任意代码。

泛微OA ReceiveTodoRequestByXml XML实体注入漏洞

XXE漏洞，即XML外部实体注入漏洞，是由于应用程序处理XML输入时，未正确配置或过滤外部实体引用导致的安全漏洞。攻击者可以通过构造恶意XML数据，导致服务器端信息泄露、拒绝服务攻击、远程代码执行等严重后果。