Bài tập đặc quyền không chính xác trong PostgreSQL cho phép kém đặc quyền
Người dùng ứng dụng để xem hoặc thay đổi các hàng khác nhau từ những ý định. Một cuộc tấn công
yêu cầu ứng dụng sử dụngPostgreSQL:,
PostgreSQL: Tài liệu: 17:,
hoặc một tính năng tương đương. Sự cố phát sinh khi truy vấn ứng dụng sử dụng
Các tham số từ kẻ tấn công hoặc truyền tải kết quả truy vấn cho kẻ tấn công. Nếu điều đó
Truy vấn phản ứng vớicurrent_sinsting ('vai trò')hoặc ID người dùng hiện tại, nó có thể sửa đổi
hoặc trả về dữ liệu như thể kèo bóng đá pháp không được sử dụngĐặt vai tròhoặcĐặt ủy quyền kèo bóng đá pháp. Kẻ tấn công không kiểm soát người dùng không chính xác
ID áp dụng. Truy vấn văn kèo bóng đá pháp từ các nguồn ít đặc quyền không phải là một mối quan tâm ở đây,
bởi vìĐặt vai tròvàĐặt ủy quyền kèo bóng đá phápkhông phải là hộp cát cho không được đặt
Truy vấn. Các kèo bóng đá pháp trước PostgreSql 17.1, 16,5, 15,9, 14,14, 13,17 và 12,21
bị ảnh hưởng.
Dự án PostgreSQL cảm ơn Tom Lane đã kèo bóng đá pháp vấn đề này.
| kèo bóng đá pháp bị ảnh hưởng | Đã sửa trong | sửa chữa được xuất kèo bóng đá pháp |
|---|---|---|
| 17 | 17.1 | kèo bóng đá euro |
| 16 | 16.5 | kèo bóng đá euro |
| 15 | 15.9 | kèo bóng đá euro |
| 14 | 14.14 | kèo bóng đá euro |
| 13 | 13.17 | kèo bóng đá euro |
| 12 | 12.21 | kèo bóng đá euro |
Để biết thêm thông tin vềkèo bóng đá pháp PostgreSQL,, Vui lòng truy cậpTrang kèo bóng đá pháp.
| Điểm tổng thể | 4.2 |
|---|---|
| Thành phần | Máy chủ lõi |
| Vector | AV: N/AC: H/PR: L/UI: N/S: U/C: L/I: L/A: N |
Nếu bạn muốn kèo bóng đá pháp lỗ hổng bảo mật mới trong PostgreSQL, xin vui lòng Gửi email đếnsecurity@postgresql.org.
Để kèo bóng đá pháp các lỗi không bảo mật, vui lòng xemkèo bóng đá pháp lỗitrang.