漏洞信息详情
PostgreSQL JDBC Driver SQL注入漏洞
- CNNVD编号:CNNVD-202208-2126
- 危害等级: 高危
- CVE编号: CVE-2022-31197
- 漏洞类型: SQL注入
- 发布时间: 2022-08-03
- 威胁类型: 远程
- 更新时间: 2022-10-08
- 厂 商:
- 漏洞来源:
漏洞简介
PostgreSQL是PostgreSQL组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。PostgreSQL JDBC Driver是一个用 Pure Java(Type 4)编写的开源 JDBC 驱动程序,用于 PostgreSQL 本地网络协议中进行通信。
PostgreSQL JDBC Driver 42.2.x、42.3.x、42.4.x版本存在SQL注入漏洞,该漏洞源于包含语句终止符的恶意列名,攻击者利用该漏洞可以以应用程序的 JDBC 用户身份执行其他 SQL 命令。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-r38f-c4h4-hqq2
参考网址
来源:MISC
链接:https://github.com/pgjdbc/pgjdbc/commit/739e599d52ad80f8dcd6efedc6157859b1a9d637
来源:CONFIRM
链接:https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-r38f-c4h4-hqq2
来源:FEDORA
链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/I6WHUADTZBBQLVHO4YG4XCWDGWBT4LRP/
来源:FEDORA
链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/UTFE6SV33P5YYU2GNTQZQKQRVR3GYE4S/
来源:cxsecurity.com
链接:https://cxsecurity.com/cveshow/CVE-2022-31197/
来源:nvd.nist.gov
链接:https://nvd.nist.gov/vuln/detail/CVE-2022-31197
来源:vigilance.fr
链接:https://vigilance.fr/vulnerability/PostgreSQL-JDBC-Driver-SQL-injection-via-refreshRow-39465
受影响实体
暂无
补丁
- PostgreSQL JDBC Driver SQL注入漏洞的修复措施
评论