组件介绍

PostgreSQL是一种特性非常齐全的自由软件的对象-关系型数据库管理系统（ORDBMS），是以加州大学计算机系开发的POSTGRES。

漏洞描述

近日，深信服安全团队监测到一则PostgreSQL JDBC Driver组件存在任意文件写入漏洞的信息，漏洞威胁等级：高危。

该漏洞是由于PostgreSQL JDBC Driver在进行类实例化的过程中，没有验证该类是否是预期接口，攻击者可利用该漏洞在未授权，构造恶意数据，写入任意文件，最终获取服务器最高权限。

影响范围

可能受漏洞影响的资产广泛分布于世界各地，国内省份中，浙江、广东、山东、北京、上海等省市接近 70%。

目前受影响的PostgreSQL JDBC Driver版本：

42.3.0 ≤ PostgreSQL JDBC Driver < 42.3.3

PostgreSQL JDBC Driver 42.1.x

官方修复建议

当前官方已发布最新版本，建议受影响的用户及时更新升级到最新版本。