Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2019-01225

Опубликовано: 30 июл. 2018
Источник: fstec
CVSS3: 9.8
CVSS2: 7.5
EPSS Низкий

Описание

Уязвимость утилит pg_upgrade и pg_dump системы управления базами данных PostgreSQL связана с непринятием мер по защите структуры SQL-запроса. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольные SQL-команды

Вендор

PostgreSQL Global Development Group
Postgres Professional

Наименование ПО

PostgreSQL
Postgres Pro Certified

Версия ПО

от 9.3.0 до 9.3.25 (PostgreSQL)
от 9.4.0 до 9.4.20 (PostgreSQL)
от 9.5.0 до 9.5.15 (PostgreSQL)
от 9.6.0 до 9.6.11 (PostgreSQL)
от 10.0 до 10.6 (PostgreSQL)
от 11.0 до 11.1 (PostgreSQL)
до 11.11.1 (Postgres Pro Certified)

Тип ПО

СУБД

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,5)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://www.postgresql.org/about/news/1905/
Для Postgres Pro Certified:
https://postgrespro.ru/products/postgrespro/certified

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 79%
0.01312
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2018-16850

CVSS3: 9.8
ubuntu
больше 6 лет назад

postgresql before versions 11.1, 10.6 is vulnerable to a to SQL injection in pg_upgrade and pg_dump via CREATE TRIGGER ... REFERENCING. Using a purpose-crafted trigger definition, an attacker can cause arbitrary SQL statements to run, with superuser privileges.

redhat логотип

CVE-2018-16850

CVSS3: 8
redhat
больше 6 лет назад

postgresql before versions 11.1, 10.6 is vulnerable to a to SQL injection in pg_upgrade and pg_dump via CREATE TRIGGER ... REFERENCING. Using a purpose-crafted trigger definition, an attacker can cause arbitrary SQL statements to run, with superuser privileges.

nvd логотип

CVE-2018-16850

CVSS3: 9.8
nvd
больше 6 лет назад

postgresql before versions 11.1, 10.6 is vulnerable to a to SQL injection in pg_upgrade and pg_dump via CREATE TRIGGER ... REFERENCING. Using a purpose-crafted trigger definition, an attacker can cause arbitrary SQL statements to run, with superuser privileges.

debian логотип

CVE-2018-16850

CVSS3: 9.8
debian
больше 6 лет назад

postgresql before versions 11.1, 10.6 is vulnerable to a to SQL inject ...

suse-cvrf логотип

openSUSE-SU-2018:4031-1

suse-cvrf
больше 6 лет назад

Security update for postgresql10

EPSS

Процентиль: 79%
0.01312
Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2