Amazon Redshift JDBC Driver<2.1.0.28 SQL注入漏洞 (CVE-2024-32888)

2024年5月15日下午6:00 • 漏洞

漏洞类型	SQL注入	发现时间	2024-05-15	漏洞等级	严重
MPS编号	MPS-yg3n-dx5h	CVE编号	CVE-2024-32888	漏洞影响广度

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

Amazon Redshift 的 JDBC 驱动程序是一个 Type 4 JDBC 驱动程序，通过 Java 平台企业版提供的标准 JDBC 应用程序接口（API）实现数据库连接。
在 2.1.0.28 版本之前，使用非默认连接属性 preferQueryMode=simple 会导致 SQL 注入漏洞，而默认的扩展查询模式不存在此问题。preferQueryMode 参数并不受 Redshift JDBC 驱动程序支持，它是从 Postgres JDBC 驱动程序继承的代码。未更改默认设置的用户不受影响。此问题在 2.1.0.28 版本中已修复。避免使用 preferQueryMode=simple 可缓解此漏洞。（注意：默认使用扩展查询模式的用户不受影响。）
参考链接：https://www.oscs1024.com/hd/MPS-yg3n-dx5h

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
com.amazon.redshift:redshift-jdbc42 (-∞, 2.1.0.28)	升级	将组件 com.amazon.redshift:redshift-jdbc42 升级至 2.1.0.28 及以上版本
参考链接：https://www.oscs1024.com/hd/MPS-yg3n-dx5h

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-yg3n-dx5h

https://nvd.nist.gov/vuln/detail/CVE-2024-32888

https://github.com/aws/amazon-redshift-jdbc-driver/commit/0d354a5f26ca23f7cac4e800e3b8734220230319

https://github.com/aws/amazon-redshift-jdbc-driver/security/advisories/GHSA-x3wm-hffr-chwm

CVE-2024-32888 漏洞

赞 (0)

Next.js < 14.1.1 Server Actions SSRF漏洞 (CVE-2024-34351)

上一篇 2024年5月11日

cacti <= 1.2.26 远程代码执行漏洞 (CVE-2024-25641)

下一篇 2024年5月15日

漏洞

mvel2 ParseTools.subCompileExpression方法存在拒绝服务风险 (CVE-2023-51079)

漏洞类型拒绝服务发现时间 2023-12-29 漏洞等级中危 MPS编号 MPS-nhc1-imz2 CVE编号 CVE-2023-51079 漏洞影响广度小漏洞危害 OSCS 描述 mvel2 是用于Java平台的嵌入式表达式语言，用于通过配置文件向用户提供程序逻辑。 mvel2 v2.5.1 Final版本及之前版本中，ParseTools.s…

2023年12月29日
00
漏洞

Apache NiFi 远程资源检索功能存在命令注入漏洞 (CVE-2023-36542)

漏洞类型代码注入发现时间 2023/7/29 漏洞等级高危 MPS编号 MPS-h7gi-f1vl CVE编号 CVE-2023-36542 漏洞影响广度小漏洞危害 OSCS 描述 Apache NiFi 是一个开源的数据流处理和自动化工具。Apache NiFi 1.23.0之前版本中包含使用 HTTP URL 进行远程资源检索的 Process…

2023年8月11日
00
漏洞

Microsoft Word NTLM哈希信息泄露漏洞 (CVE-2023-36761)

漏洞类型未授权敏感信息泄露发现时间 2023-09-13 漏洞等级中危 MPS编号 MPS-mir2-plxk CVE编号 CVE-2023-36761 漏洞影响广度广漏洞危害 OSCS 描述 Microsoft Office Word是微软公司的一个文字处理器应用程序。 Microsoft Word受影响版本中存在信息泄露漏洞，使用预览窗格对文件…

2023年9月14日
00
漏洞

GeoServer 文件上传漏洞 (CVE-2023-51444)

漏洞类型任意文件上传发现时间 2024-03-20 漏洞等级高危 MPS编号 MPS-k1cj-eg7w CVE编号 CVE-2023-51444 漏洞影响广度广漏洞危害 OSCS 描述 GeoServer是一个用Java编写的开源软件服务器，允许用户共享和编辑地理空间数据。 GeoServer受影响版本中存在任意文件上传漏洞。由于未验证用户输入的…

2024年3月21日
00
漏洞

LangChain 远程代码执行漏洞 (CVE-2024-28088)

漏洞类型相对路径遍历发现时间 2024-03-04 漏洞等级中危 MPS编号 MPS-o9uw-a2dr CVE编号 CVE-2024-28088 漏洞影响广度小漏洞危害 OSCS 描述 LangChain是一个旨在帮助开发人员使用语言模型构建端到端的应用程序的框架，支持配置不同的链调用。langchain-experimental是一个用于研究和…

2024年3月6日
00