CVE-2022-2625 [高] | Security Vulnerability（Postgresql）

A vulnerability was found in PostgreSQL. This attack requires permission to create non-temporary objects in at least one schema, the ability to lure or wait for an administrator to create or update an affected extension in that schema, and the ability to lure or wait for a victim to use the object targeted in CREATE OR REPLACE or CREATE IF NOT EXISTS. Given all three prerequisites, this flaw allows an attacker to run arbitrary code as the victim role, which may be a superuser.

#	日付	旧 EPSS スコア	新 EPSS スコア	Δ（新 − 旧）
1	2026-06-15	0.97%	1.47%	+0.49%
2	2026-01-25	0.86%	0.97%	+0.11%
3	2026-01-08	—	0.86%	—

日付

旧 EPSS スコア

新 EPSS スコア

Δ（新 − 旧）

2026-06-15

0.97%

1.47%

+0.49%

2026-01-25

0.86%

0.97%

+0.11%

2026-01-08

—

0.86%

—

ベーススコア	バージョン	深刻度	ベクトル	悪用しやすさ	影響	スコアの出典
8.0	3.1	HIGH	`CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H` クリックして展開攻撃ベクター (AV:N) インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。攻撃の複雑さ (AC:L) 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。必要な権限 (PR:L) 一般ユーザー権限があれば足り、管理者（root 相当）は不要。ユーザーの関与 (UI:R) インストールの許可、設定変更、悪意あるファイルの実行など、人の一度の判断がトリガーになる。スコープ (S:U) 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。機密性への影響 (C:H) 広範な機微データの読み取りや持ち出しが現実的。完全性への影響 (I:H) 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。可用性への影響 (A:H) 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。	2.1	5.9	[email protected]

ベーススコア

バージョン

深刻度

ベクトル

悪用しやすさ

影響

スコアの出典

8.0

3.1

HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H クリックして展開

攻撃ベクター (AV:N): インターネットなど、ルーティングされたネットワーク越しに遠隔から悪用しうる。端末の前にいる必要はない。
攻撃の複雑さ (AC:L): 攻撃者が条件を満たせば、レース条件や珍しい構成に依存せずに再現しやすい。
必要な権限 (PR:L): 一般ユーザー権限があれば足り、管理者（root 相当）は不要。
ユーザーの関与 (UI:R): インストールの許可、設定変更、悪意あるファイルの実行など、人の一度の判断がトリガーになる。
スコープ (S:U): 影響は脆弱コンポーネントと同一のセキュリティ権限・信頼境界の内側に収まる。
機密性への影響 (C:H): 広範な機微データの読み取りや持ち出しが現実的。
完全性への影響 (I:H): 権限の奪取や広範なログ改竄など、システムの信頼根拠を揺るがす改ざんが現実的。
可用性への影響 (A:H): 長時間のサービス停止、データ損壊による復旧不能に近い状態など、利用者に著しい不便を与えうる。

2.1

5.9

[email protected]

CVE-2022-2625 の OS トラッカー

vendor	priority	summary	link
`alpine`	high	CVE-2022-2625: 5 source package rows (postgresql, postgresql12, postgresql13, postgresql14, postgresql15); 36 state rows across 10 repos (3.17-community, 3.17-main, 3.18-community, 3.18-main, 3.19-community, 3.19-main, 3.20-community, 3.20-main, edge-community, edge-main); fixed 21, open 15.	https://security.alpinelinux.org/vuln/CVE-2022-2625
`debian`	not yet assigned	CVE-2022-2625 not yet assigned priority: Debian including 1 source packages (postgresql-13), 1 status rows across 1 suites (bullseye): resolved 1.	https://security-tracker.debian.org/tracker/CVE-2022-2625
`gentoo`	high	CVE-2022-2625: 1 GLSA(s) (202211-04), 1 atom(s) (dev-db/postgresql); latest impact high.	https://bugs.gentoo.org/buglist.cgi?quicksearch=CVE-2022-2625
`redhat`	medium	—	https://access.redhat.com/security/cve/CVE-2022-2625
`suse`	high	CVE-2022-2625 severity important: SUSE including 498 source package names (12.14-21.1:libpq5-14.5-150200.5.17.1, 12.14-21.1:postgresql12-12.12-150200.8.35.1, …), 1655 product×package rows across 73 product lines (Container suse/postgres, Container trento/trento-db, … (73 product lines)): Fixed 1424, Known Affected 231.	https://www.suse.com/security/cve/CVE-2022-2625/
`ubuntu`	medium	CVE-2022-2625 medium priority: Ubuntu including 7 source packages (postgresql-10, postgresql-12, …), 91 status rows across 13 suites (bionic, focal, jammy, kinetic, lunar, mantic, noble, oracular, plucky, questing, trusty, upstream, xenial): DNE 78, released 7, ignored 3, deferred 1, needs-triage 1, not-affected 1.	https://ubuntu.com/security/CVE-2022-2625

CVE-2022-2625 の影響を受けるソフトウェア／構成

ベンダー	製品	バージョン	生の CPE
postgresql	postgresql	>= 10.0, < 10.22	cpe:2.3:a:postgresql:postgresql::::::::
postgresql	postgresql	>= 11.0, < 11.17	cpe:2.3:a:postgresql:postgresql::::::::
postgresql	postgresql	>= 12.0, < 12.12	cpe:2.3:a:postgresql:postgresql::::::::
postgresql	postgresql	>= 13.0, < 13.8	cpe:2.3:a:postgresql:postgresql::::::::
postgresql	postgresql	>= 14.0, < 14.5	cpe:2.3:a:postgresql:postgresql::::::::
postgresql	postgresql	15	cpe:2.3:a:postgresql:postgresql:15:beta1::::::
postgresql	postgresql	15	cpe:2.3:a:postgresql:postgresql:15:beta2::::::
fedoraproject	fedora	36	cpe:2.3:o:fedoraproject:fedora:36:::::::*
redhat	enterprise_linux	6.0	cpe:2.3:o:redhat:enterprise_linux:6.0:::::::*
redhat	enterprise_linux	7.0	cpe:2.3:o:redhat:enterprise_linux:7.0:::::::*
redhat	enterprise_linux	8.0	cpe:2.3:o:redhat:enterprise_linux:8.0:::::::*
redhat	enterprise_linux	9.0	cpe:2.3:o:redhat:enterprise_linux:9.0:::::::*

CVE-2022-2625 の参考情報

URL	タグ
https://bugzilla.redhat.com/show_bug.cgi?id=2113825	Issue Tracking Third Party Advisory
https://security.gentoo.org/glsa/202211-04	Third Party Advisory
https://www.postgresql.org/about/news/postgresql-145-138-1212-1117-1022-and-15-beta-3-released-2496/	Release Notes Vendor Advisory

URL

タグ

https://bugzilla.redhat.com/show_bug.cgi?id=2113825

Issue Tracking Third Party Advisory

https://security.gentoo.org/glsa/202211-04

Third Party Advisory

https://www.postgresql.org/about/news/postgresql-145-138-1212-1117-1022-and-15-beta-3-released-2496/

Release Notes Vendor Advisory

CVE-2022-2625

CVE-2022-2625 の EPSS（Exploit Prediction Scoring System）スコア

CVE-2022-2625 の CVSS（Common Vulnerability Scoring System）指標

CVE-2022-2625 の弱点分類（列挙）

CVE-2022-2625 の OS トラッカー

CVE-2022-2625 の影響を受けるソフトウェア／構成

CVE-2022-2625 の参考情報