漏洞信息详情

PostgreSQL JDBC Driver SQL注入漏洞

• CNNVD编号：CNNVD-202208-2126
• 危害等级： 高危
  
• CVE编号： CVE-2022-31197
• 漏洞类型： SQL注入
• 发布时间： 2022-08-03
• 威胁类型： 远程
• 更新时间： 2022-10-08
• 厂        商：
• 漏洞来源：

漏洞简介

PostgreSQL是PostgreSQL组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性，例如外键、触发器、视图等。PostgreSQL JDBC Driver是一个用 Pure Java（Type 4）编写的开源 JDBC 驱动程序，用于 PostgreSQL 本地网络协议中进行通信。

PostgreSQL JDBC Driver 42.2.x、42.3.x、42.4.x版本存在SQL注入漏洞，该漏洞源于包含语句终止符的恶意列名，攻击者利用该漏洞可以以应用程序的 JDBC 用户身份执行其他 SQL 命令。

漏洞公告

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：

https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-r38f-c4h4-hqq2

参考网址

来源:MISC

链接:https://github.com/pgjdbc/pgjdbc/commit/739e599d52ad80f8dcd6efedc6157859b1a9d637

来源:CONFIRM

链接:https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-r38f-c4h4-hqq2

来源:FEDORA

链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/I6WHUADTZBBQLVHO4YG4XCWDGWBT4LRP/

来源:FEDORA

链接:https://lists.fedoraproject.org/archives/list/[email protected]/message/UTFE6SV33P5YYU2GNTQZQKQRVR3GYE4S/

来源:cxsecurity.com

链接:https://cxsecurity.com/cveshow/CVE-2022-31197/

来源:nvd.nist.gov

链接:https://nvd.nist.gov/vuln/detail/CVE-2022-31197

来源:vigilance.fr

链接:https://vigilance.fr/vulnerability/PostgreSQL-JDBC-Driver-SQL-injection-via-refreshRow-39465

受影响实体

暂无

补丁

• PostgreSQL JDBC Driver SQL注入漏洞的修复措施