漏洞概要
|
漏洞名称 |
PostgreSQL JDBC SQL注入漏洞(CVE-2024-1597) |
|
发布时间 |
2024年2月22日 |
|
组件名称 |
PostgreSQL JDBC Driver |
|
影响范围 |
42.7.0≤PostgreSQL JDBC Driver<42.7.2 42.6.0≤PostgreSQL JDBC Driver<42.6.1 42.5.0≤PostgreSQL JDBC Driver<42.5.5 42.4.0≤PostgreSQL JDBC Driver<42.4.4 42.3.0≤PostgreSQL JDBC Driver<42.3.9 PostgreSQL JDBC Driver<42.2.8 |
|
漏洞类型 |
SQL注入 |
|
利用条件 |
1、用户认证:未知 2、前置条件:开启PreferQueryMode=SIMPLE 3、触发方式:远程 |
|
综合评价 |
<综合评定利用难度>:较高,存在非默认的前置条件。 <综合评定威胁等级>:高危,能造成远程代码执行。 |
|
官方解决方案 |
已发布 |
漏洞分析
组件介绍
PostgreSQL是一种功能强大的开源对象关系型数据库系统,它以其可靠性、健壮性和性能而闻名,适用于处理从小型应用程序到大型互联网应用程序以及数据仓库的各种工作负载。
漏洞描述
2024年2月22日,深瞳漏洞实验室监测到一则PostgreSQL组件存在SQL注入漏洞的信息,漏洞编号:CVE-2024-1597,漏洞威胁等级:高危。
该漏洞是由于设置PreferQueryMode=SIMPLE时PostgreSQL对占位符的处理存在缺陷,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行SQL注入攻击,最终造成服务器敏感性信息泄露或执行任意代码。
影响范围
目前受影响的PostgreSQL JDBC Driver版本:
42.7.0≤PostgreSQL JDBC Driver<42.7.2
42.6.0≤PostgreSQL JDBC Driver<42.6.1
42.5.0≤PostgreSQL JDBC Driver<42.5.5
42.4.0≤PostgreSQL JDBC Driver<42.4.4
42.3.0≤PostgreSQL JDBC Driver<42.3.9
PostgreSQL JDBC Driver<42.2.8
解决方案
修复建议
1.官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。