漏洞预警 | PostgreSQL JDBC SQL注入漏洞

admin

102505
文章

87
评论

2024年2月22日16:06:36评论25 views字数 658阅读2分11秒阅读模式

0x00 漏洞编号

CVE-2024-1597

0x01 危险等级

高危

0x02 漏洞概述

PostgreSQL是一个功能强大的开源对象关系数据库系统，经过30多年的积极开发，在可靠性、功能稳健性和性能方面赢得了良好的声誉，而pgjdbc是官方的PostgreSQL JDBC驱动程序。

漏洞预警 | PostgreSQL JDBC SQL注入漏洞

0x03 漏洞详情

CVE-2024-1597

漏洞类型：SQL注入

影响：任意命令执行

简述：PostgreSQL JDBC Driver中存在SQL注入漏洞，如果应用使用 PreferQueryMode=SIMPLE模式，当数值的占位符前面含有一个减号，且第一个占位符之后有第二个字符串值占位符并且两个占位符必须在同一行时，通过构建匹配的字符串有效载荷，攻击者可以注入SQL来更改查询，从而绕过参数化查询对SQL注入攻击的保护。

0x04 影响版本

42.7.0 <= PostgreSQL JDBC Driver < 42.7.2
42.6.0 <= PostgreSQL JDBC Driver < 42.6.1
42.5.0 <= PostgreSQL JDBC Driver < 42.5.5
42.4.0 <= PostgreSQL JDBC Driver < 42.4.4
42.3.0 <= PostgreSQL JDBC Driver < 42.3.9
PostgreSQL JDBC Driver < 42.2.8

0x05 修复建议

目前官方已发布漏洞修复版本，建议用户升级到安全版本：

https://www.postgresql.org/

原文始发于微信公众号（浅安安全）：漏洞预警 | PostgreSQL JDBC SQL注入漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

漏洞预警 | PostgreSQL JDBC SQL注入漏洞

CVE-2024-1597

漏洞预警 | Google Chrome堆缓冲区溢出漏洞

漏洞预警 | GeoNode请求伪造漏洞

漏洞预警 | Docker Desktop增强容器隔离限制绕过漏洞

漏洞预警 | D-Link D-View 8 硬编码密钥漏洞

(CVE-2023-30591) NodeBB 预身份验证拒绝服务

CVE-2023-41081：Apache Tomcat 连接器中的高严重性漏洞

禅道项目管理系统身份认证绕过[漏洞复现]

LiveGBS-save-任意用户添加漏洞复现

禅道身份认证绕过漏洞QVD-2024-15263

针对 MSKSSRV.SYS 驱动程序的 CVE-2023-29360 漏洞利用

发表评论

在线咨询

微信