| 漏洞类型 | SQL注入 | 发现时间 | 2024-02-19 | 漏洞等级 | 严重 |
| MPS编号 | MPS-1wko-hvgp | CVE编号 | CVE-2024-1597 | 漏洞影响广度 | 小 |
漏洞危害
| OSCS 描述 |
| pgjdbc 是PostgreSQL的JDBC驱动程序。 pgjdbc 受影响版本中配置为使用简单查询模式(preferQueryMode=SIMPLE,非默认情况)时存在SQL注入。 当SQL占位符前存在负号(-)时,用户传入的参数值中负号会被错误解释为行注释,攻击者可利用该特征造成SQL注入,破坏原有语句结构。 参考链接:https://www.oscs1024.com/hd/MPS-1wko-hvgp |
影响范围及处置方案
OSCS 平台影响范围和处置方案
| 影响范围 | 处置方式 | 处置方法 |
| org.postgresql:postgresql [9.3-1103-jdbc41, 42.7.1] | 补丁 | 官方已发布补丁:https://github.com/pgjdbc/pgjdbc/commit/93b0fcb2711d9c1e3a2a03134369738a02a58b40 |
| 参考链接:https://www.oscs1024.com/hd/MPS-1wko-hvgp | ||
排查方式
| 方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html |
| 方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html |
| 方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html |
| 更多排查方式:https://www.murphysec.com/docs/faqs/integration/ |
本文参考链接
https://www.oscs1024.com/hd/MPS-1wko-hvgp
https://github.com/pgjdbc/pgjdbc/commit/93b0fcb2711d9c1e3a2a03134369738a02a58b40
https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-24rp-q3w6-vc56
![WinRAR<6.23 远程代码执行漏洞 (CVE-2023-40477) [有POC]](https://zhi.oscs1024.com/wp-content/themes/justnews/themer/assets/images/lazy.png)