漏洞描述:
pgjdbc是PostgreSQL的JDBC驱动程序,pgjdbc 受影响版本中配置为使用简单查询模式(preferQueryMode=SIMPLE,非默认情况)时存在SQL注入,当SQL占位符前存在负号(-)时,用户传入的参数值中负号会被错误解释为行注释,攻击者可利用该特征造成SQL注入,破坏原有语句结构。
影响范围:
org.postgresql:postgresql[9.3-1103-jdbc41,42.7.1]
修复方案:
官方已发布补丁:https://github.com/pgjdbc/pgjdbc/commit/93b0fcb2711d9c1e3a2a03134369738a02a58b40
参考链接:
https://github.com/pgjdbc/pgjdbc/commit/93b0fcb2711d9c1e3a2a03134369738a02a58b40
https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-24rp-q3w6-vc56
原文始发于微信公众号(飓风网络安全):【漏洞预警】pgjdbc 存在SQL注入漏洞CVE-2024-1597
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论