Amazon Redshift JDBC Driver<2.1.0.28 SQL注入漏洞 (CVE-2024-32888)

2024年5月15日下午6:00 • 漏洞

漏洞类型	SQL注入	发现时间	2024-05-15	漏洞等级	严重
MPS编号	MPS-yg3n-dx5h	CVE编号	CVE-2024-32888	漏洞影响广度

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

Amazon Redshift 的 JDBC 驱动程序是一个 Type 4 JDBC 驱动程序，通过 Java 平台企业版提供的标准 JDBC 应用程序接口（API）实现数据库连接。
在 2.1.0.28 版本之前，使用非默认连接属性 preferQueryMode=simple 会导致 SQL 注入漏洞，而默认的扩展查询模式不存在此问题。preferQueryMode 参数并不受 Redshift JDBC 驱动程序支持，它是从 Postgres JDBC 驱动程序继承的代码。未更改默认设置的用户不受影响。此问题在 2.1.0.28 版本中已修复。避免使用 preferQueryMode=simple 可缓解此漏洞。（注意：默认使用扩展查询模式的用户不受影响。）
参考链接：https://www.oscs1024.com/hd/MPS-yg3n-dx5h

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
com.amazon.redshift:redshift-jdbc42 (-∞, 2.1.0.28)	升级	将组件 com.amazon.redshift:redshift-jdbc42 升级至 2.1.0.28 及以上版本
参考链接：https://www.oscs1024.com/hd/MPS-yg3n-dx5h

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-yg3n-dx5h

https://nvd.nist.gov/vuln/detail/CVE-2024-32888

https://github.com/aws/amazon-redshift-jdbc-driver/commit/0d354a5f26ca23f7cac4e800e3b8734220230319

https://github.com/aws/amazon-redshift-jdbc-driver/security/advisories/GHSA-x3wm-hffr-chwm

CVE-2024-32888 漏洞

赞 (0)

Next.js < 14.1.1 Server Actions SSRF漏洞 (CVE-2024-34351)

上一篇 2024年5月11日

cacti <= 1.2.26 远程代码执行漏洞 (CVE-2024-25641)

下一篇 2024年5月15日

漏洞

Babel 插件任意代码执行漏洞漏洞【Poc公开】 (CVE-2023-45133)

漏洞类型不完整的黑名单发现时间 2023-10-13 漏洞等级严重 MPS编号 MPS-avb9-j50z CVE编号 CVE-2023-45133 漏洞影响广度广漏洞危害 OSCS 描述 Babel 是开源的 JavaScript 编译器。当使用依赖 path.evaluate() 或 path.evaluateTruthy()方法的插件编译攻…

2023年10月14日
00
漏洞

Apache OFBiz Solr 存在未授权访问漏洞 (CVE-2023-46819)

漏洞类型关键功能的认证机制缺失发现时间 2023-11-08 漏洞等级中危 MPS编号 MPS-a5cl-euw1 CVE编号 CVE-2023-46819 漏洞影响广度一般漏洞危害 OSCS 描述 Apache OFBiz 是一个开源的企业资源计划系统。Solr是一个搜索平台，它提供了许多功能，包括全文搜索、动态聚类、数据库集成等。(默认未安装该…

2023年11月9日
00
漏洞

Google Chrome <137.0.7129.0 BrowserTabStripTracker UAF漏洞

【高危】Google Chrome <137.0.7129.0 BrowserTabStripTracker UAF漏洞漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器。受影响版本中，BrowserTabStripTracker 组件在初始化时会遍历列表 BrowserList。由于程序启动时加载扩展和自动打开开…

2025年8月1日
00
漏洞

Apache Superset 默认示例数据库权限提升漏洞 (CVE-2023-40610)

漏洞类型 SQL注入发现时间 2023-11-27 漏洞等级高危 MPS编号 MPS-iztk-bu2h CVE编号 CVE-2023-40610 漏洞影响广度广漏洞危害 OSCS 描述 Apache Superset 是一个开源的数据可视化和业务智能平台，可用于数据探索分析和数据可视化。受影响版本中，默认情况下示例数据库表是在 Superset …

2023年11月28日
00
漏洞

Apache Superset<2.1.1 远程代码执行漏洞 (CVE-2023-37941)

漏洞类型反序列化发现时间 2023-09-06 漏洞等级高危 MPS编号 MPS-tu89-c6xs CVE编号 CVE-2023-37941 漏洞影响广度广漏洞危害 OSCS 描述 Apache Superset 是一个开源的数据可视化工具，metadata 数据库用于存储 Superset 元数据(如配置信息)。Python 的 pickle …

2023年9月9日
00