pgjdbc 存在SQL注入漏洞 (CVE-2024-1597)

漏洞类型 SQL注入 发现时间 2024-02-19 漏洞等级 严重
MPS编号 MPS-1wko-hvgp CVE编号 CVE-2024-1597 漏洞影响广度

漏洞危害

OSCS 描述
pgjdbc 是PostgreSQL的JDBC驱动程序。
pgjdbc 受影响版本中配置为使用简单查询模式(preferQueryMode=SIMPLE,非默认情况)时存在SQL注入。
当SQL占位符前存在负号(-)时,用户传入的参数值中负号会被错误解释为行注释,攻击者可利用该特征造成SQL注入,破坏原有语句结构。
参考链接:https://www.oscs1024.com/hd/MPS-1wko-hvgp

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.postgresql:postgresql [9.3-1103-jdbc41, 42.7.1] 补丁 官方已发布补丁:https://github.com/pgjdbc/pgjdbc/commit/93b0fcb2711d9c1e3a2a03134369738a02a58b40
参考链接:https://www.oscs1024.com/hd/MPS-1wko-hvgp

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-1wko-hvgp

https://github.com/pgjdbc/pgjdbc/commit/93b0fcb2711d9c1e3a2a03134369738a02a58b40

https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-24rp-q3w6-vc56

(0)
上一篇 2024年2月20日 下午8:00
下一篇 2024年2月20日 下午8:00

相关推荐

  • Apache bRPC 存在http请求走私风险 (CVE-2024-23452)

    漏洞类型 HTTP请求走私 发现时间 2024-02-08 漏洞等级 中危 MPS编号 MPS-2glc-5ao0 CVE编号 CVE-2024-23452 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache bRPC 是百度开源的工业级 RPC 框架,常用于搜索、存储、机器学习等高性能系统。 Apache bRPC 0.9.5至1.7.0版本中由于…

    2024年2月9日
    0
  • F5 BIG-IP 远程代码执行漏洞 (CVE-2023-46747)

    漏洞类型 使用候选路径或通道进行的认证绕过 发现时间 2023-10-27 漏洞等级 严重 MPS编号 MPS-79fi-qctw CVE编号 CVE-2023-46747 漏洞影响广度 广 漏洞危害 OSCS 描述 F5 BIG-IP是F5公司的一款集成了网络流量编排、负载均衡、智能DNS,远程接入策略管理等功能的应用交付平台。 F5 BIG-IP通过Ap…

    2023年10月27日
    0
  • Apache InLong < 1.12.0 JDBC反序列化漏洞 (CVE-2024-26579)

    漏洞类型 反序列化 发现时间 2024-05-09 漏洞等级 高危 MPS编号 MPS-7rbq-ze46 CVE编号 CVE-2024-26579 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache InLong 是开源的高性能数据集成框架,用于业务构建基于流式的数据分析、建模和应用。 受影响版本中,由于 MySQLSensitiveUrlUtils…

    漏洞 2024年5月10日
    0
  • MarkText<=0.17.1 存在DOM型XSS漏洞 (CVE-2023-2318) [有POC]

    漏洞类型 XSS 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-uvas-0cn2 CVE编号 CVE-2023-2318 漏洞影响广度 广 漏洞危害 OSCS 描述 MarkText 是热门的开源Markdown编辑器,覆盖Windows/Linux/MacOS平台。 MarkText 0.17.1及之前版本中的 pasteCtrl …

    2023年8月22日
    0
  • 腾讯QQ Windows版客户端1-click远程代码执行风险 (MPS-0z86-njh3) [有POC]

    漏洞类型 从非可信控制范围包含功能例程 发现时间 2023-08-21 漏洞等级 高危 MPS编号 MPS-0z86-njh3 CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 QQ 是一个多平台即时通信软件。QQ Windows版客户端 9.7.15之前版本中存在逻辑设计缺陷,当消息中包含引用的文件时,直接点击即完成下载和打开操作,缺…

    2023年8月22日
    0