严重性：高 类型：漏洞

CVE-2025-14038

EnterpriseDB混合管理器存在一个缺陷，允许未经身份验证的攻击者直接访问某些gRPC端点。这可能使攻击者能够读取潜在的敏感数据，或者通过向某些gRPC端点写入畸形数据来引发拒绝服务。此缺陷已在EDB混合管理器1.3.3版本中得到修复，客户应尽快考虑升级到1.3.3。

该缺陷源于负责为受影响端点管理身份验证和授权的Istio网关配置错误。安全策略依赖于在Istio网关配置中明确定义所需权限，而受影响的端点未在该配置中定义。这使得请求可以绕过混合管理器服务内的身份验证和授权。

所有混合管理器 - LTS版本都应升级到1.3.3，所有混合管理器 - 创新版本都应升级到2025.12。

技术摘要

EnterpriseDB混合管理器 - LTS版本1.2和1.3存在一个被标识为CVE-2025-14038的关键安全漏洞，归类于CWE-862（授权缺失）。该漏洞源于Istio网关的配置错误，该网关负责在混合管理器服务内的gRPC端点上强制执行身份验证和授权策略。具体而言，Istio网关配置中的明确权限定义遗漏了某些gRPC端点。因此，这些端点无意中允许未经身份验证和未经授权的访问。攻击者可以在远程无任何权限或用户交互的情况下利用此缺陷，直接调用暴露的gRPC端点。这种未经授权的访问可能导致两种主要影响：首先，攻击者可能读取本应受保护的敏感数据，损害机密性；其次，通过向这些端点发送畸形数据，攻击者可导致拒绝服务状况，影响可用性并可能损害完整性。该漏洞不需要身份验证，使其更容易通过网络被利用。EnterpriseDB已在混合管理器 - LTS版本1.3.3和混合管理器 - 创新版本2025.12中解决了此问题，敦促所有客户立即升级。CVSS v3.1基本评分为7.0（高），反映了网络攻击向量、对可用性的高影响以及对机密性和完整性的中低影响。目前尚未报告公开的利用代码，但该漏洞的性质和易于利用性使其成为受影响部署的重大风险。

潜在影响

对于使用EnterpriseDB混合管理器 - LTS版本1.2或1.3的欧洲组织，此漏洞构成了重大风险。对gRPC端点的未授权访问可能导致敏感运营数据或客户数据暴露，违反GDPR等数据保护法规。拒绝服务攻击的可能性可能扰乱关键的数据库管理操作，影响业务连续性和服务可用性。鉴于数据库生命周期和混合云管理对混合管理器的依赖，漏洞利用可能影响多个行业，包括金融、医疗保健和政府服务等部署EnterpriseDB产品的领域。对机密性和可用性的破坏可能导致监管处罚、声誉损害和运营停机。无需身份验证且可远程进行攻击的事实提高了威胁级别。使用由EDB混合管理器管理的混合或云数据库环境的组织在打补丁前尤其脆弱。目前缺乏野外已知的利用代码降低了直接风险，但并未消除威胁，特别是在攻击者可能于公开披露后迅速开发利用代码的情况下。

缓解建议

欧洲组织应优先将EnterpriseDB混合管理器 - LTS升级到版本1.3.3或更高版本，将混合管理器 - 创新升级到2025.12或更高版本，因为这些版本包含针对Istio网关配置错误的修复。在应用升级之前，组织应实施网络级控制以限制对gRPC端点的访问，例如防火墙规则或网络分段，仅将暴露范围限制在受信任的内部网络。应增强对gRPC端点访问的监控和日志记录，以便及时检测异常或未经授权的请求。审查和审计Istio网关配置，确保所有端点都定义了明确的身份验证和授权策略。部署能够识别可能表明利用尝试的畸形gRPC流量模式的入侵检测系统。此外，进行专注于gRPC接口的渗透测试，以验证缓解措施的有效性。组织还应制定针对与此漏洞相关的潜在数据暴露或拒绝服务场景的特定事件响应计划。最后，保持对任何针对此CVE的新兴利用代码或攻击活动的了解，以便迅速响应。

受影响国家 德国、法国、英国、荷兰、瑞典、瑞士、意大利

来源： CVE Database V5 发布日期： 2025年12月15日星期一

技术详情

• 数据版本： 5.2
• 分配者简称： EDB
• 保留日期： 2025-12-04T15:37:36.286Z
• Cvss版本： 3.1
• 状态： 已发布
• 威胁ID： 69405034d9bcdf3f3df776ae
• 添加到数据库时间： 2025年12月15日，下午6:15:16
• 最后丰富时间： 2025年12月15日，下午6:30:19
• 最后更新时间： 2025年12月16日，上午4:51:28
• 浏览量： 15