pgjdbc 存在SQL注入漏洞 (CVE-2024-1597)

漏洞类型 SQL注入 发现时间 2024-02-19 漏洞等级 严重
MPS编号 MPS-1wko-hvgp CVE编号 CVE-2024-1597 漏洞影响广度

漏洞危害

OSCS 描述
pgjdbc 是PostgreSQL的JDBC驱动程序。
pgjdbc 受影响版本中配置为使用简单查询模式(preferQueryMode=SIMPLE,非默认情况)时存在SQL注入。
当SQL占位符前存在负号(-)时,用户传入的参数值中负号会被错误解释为行注释,攻击者可利用该特征造成SQL注入,破坏原有语句结构。
参考链接:https://www.oscs1024.com/hd/MPS-1wko-hvgp

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
org.postgresql:postgresql [9.3-1103-jdbc41, 42.7.1] 补丁 官方已发布补丁:https://github.com/pgjdbc/pgjdbc/commit/93b0fcb2711d9c1e3a2a03134369738a02a58b40
参考链接:https://www.oscs1024.com/hd/MPS-1wko-hvgp

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-1wko-hvgp

https://github.com/pgjdbc/pgjdbc/commit/93b0fcb2711d9c1e3a2a03134369738a02a58b40

https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-24rp-q3w6-vc56

(0)
上一篇 2024年2月20日 下午8:00
下一篇 2024年2月20日 下午8:00

相关推荐

  • MLflow <2.12.1 存在路径遍历漏洞 (CVE-2024-3848)

    漏洞类型 路径遍历 发现时间 2024-05-17 漏洞等级 严重 MPS编号 MPS-ghw4-em9v CVE编号 CVE-2024-3848 漏洞影响广度 漏洞危害 OSCS 描述 MLflow是一个简化机器学习开发的平台,包括跟踪实验、将代码打包为可重复运行以及共享和部署模型。 受影响版本[2.9.2,2.12.1)容易受到路径遍历的攻击,该漏洞是针…

    漏洞 2024年5月18日
    0
  • Atlassian Confluence 模板注入代码执行漏洞 (CVE-2023-22527)

    漏洞类型 表达式语言注入 发现时间 2024-01-16 漏洞等级 严重 MPS编号 MPS-2023-0028 CVE编号 CVE-2023-22527 漏洞影响广度 一般 漏洞危害 OSCS 描述 Confluence 是由Atlassian公司开发的企业协作和文档管理工具。 Atlassian Confluence Data Center/Server…

    2024年1月16日
    0
  • Kubernetes Windows节点kubernetes-csi-proxy提权漏洞 (CVE-2023-3893)

    漏洞类型 OS命令注入 发现时间 2023-08-24 漏洞等级 高危 MPS编号 MPS-t6rg-974f CVE编号 CVE-2023-3893 漏洞影响广度 小 漏洞危害 OSCS 描述 Kubernetes是开源的容器管理平台,kubernetes-csi-proxy是用于Windows中的CSI(容器存储接口)代理套件。在受影响版本中,由于程序将…

    2023年8月25日
    0
  • 泛微 e-cology <10.58.3 任意文件上传漏洞

    漏洞类型 任意文件上传 发现时间 2023/7/26 漏洞等级 严重 MPS编号 MPS-rkja-iwgs CVE编号 – 漏洞影响广度 广 漏洞危害 OSCS 描述 泛微协同管理应用平台(e-cology)是一套企业大型协同管理平台。泛微 e-cology 10.58.3之前版本存在任意文件上传漏洞,由于上传接口身份认证缺失,未经过身份验证的…

    2023年8月11日
    0
  • ShowDoc < 3.2.6 存在 SQL 注入漏洞 (MPS-d9mn-w0ph)

    漏洞类型 SQL注入 发现时间 2024-06-03 漏洞等级 高危 MPS编号 MPS-d9mn-w0ph CVE编号 – 漏洞影响广度 漏洞危害 OSCS 描述 ShowDoc 是基于thinkPHP开发的开源文档管理系统,支持使用 Markdown 语法书写API文档、数据字典、在线Excel文档等功能。 ShowDoc 3.2.6之前版本…

    漏洞 2024年6月4日
    0