PostgreSQL JDBC Driver SQL注入漏洞CVE-2022-31197

近日,我司监测到PostgreSQL 发布安全公告,PostgreSQL JDBC Driver在版本小于42.2.26和版本大于42.3.0小于42.4.1之间存在一个SQL注入漏洞,漏洞原因是由于java.sql.ResultRow.refreshRow()方法的PGJDBC实现没有执行列名的转义,因此如果列名包含语句终止符的恶意列名,例如";",可能导致 SQL 注入。

PostgreSQL 是一个功能强大的开源对象关系数据库系统,经过 30 多年的积极开发,在可靠性、功能稳健性和性能方面赢得了良好的声誉。

 

影响版本:

  • PostgreSQL JDBC Driver < 42.2.26
  • 42.3.0 <= PostgreSQL JDBC Driver < 42.4.1

 

安全版本:

  • PostgreSQL JDBC Driver = 42.2.26
  • PostgreSQL JDBC Driver = 42.4.1

 

修复建议:

官方已发布补丁修复漏洞,请及时下载更新,下载地址:

https://jdbc.postgresql.org/download.html

发表评论

评论已关闭。

相关文章

newsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnewsnews