[TLP:CLEAR] PostgreSQL pgJDBC a EDB pgJDBC opravují kritickou zranitelnost

PostgreSQL pgJDBC verzemi 42.7.2, 42.6.1, 42.5.5, 42.4.4, 42.3.9, 42.2.28 a EDB pgJDBC verzí 42.5.4.2 opravují kritickou zranitelnost [1].

PostgreSQL JDBC driver - SQL injection (CVE-2024-1597) CVSS 10.0 (Critical)

Neautentizovanému vzdálenému útočníkovi je umožněno injektovat SQL kód při použití režimu PreferQueryMode=SIMPLE v pgjdbc, PostgreSQL JDBC ovladači. Útočník může využít specifické konstrukce payloadu k modifikaci dotazu, čímž dochází k obejití standardní ochrany proti útokům SQL Injection, kterou nabízejí parametrizované dotazy. Tato zranitelnost se nevyskytuje při používání výchozího nastavení [2] [3].

Zranitelnost se nachází v produktech:

  • pgJDBC ve verzích (>=42.2.0 AND <42.2.28) OR (>=42.3.0 AND <42.3.9) OR (>=42.4.0 AND <42.4.4) OR (>=42.5.0 AND <42.5.5) OR (>=42.6.0 AND <42.6.1) OR (>=42.7.0 AND <42.7.2)
  • EnterpriseDB pgJDBC ve verzích >=42.5.4.0 AND <42.5.4.2

CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Více informací:

Zranitelnost byla veřejně oznámena 3. 4. 2024.


Publikovala Michaela Mačalíková dne 5. 4. 2024.

CESNET CERTS Logo