Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00612

Опубликовано: 14 мая 2020
Источник: fstec
CVSS3: 6.7
CVSS2: 6
EPSS Низкий

Описание

Уязвимость установщика Windows installer системы управления базами данных PostgreSQL связана с некорректной обработкой пути поиска. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии и выполнить произвольный код

Вендор

PostgreSQL Global Development Group
Dell Inc.

Наименование ПО

PostgreSQL
Dell Security Management Server

Версия ПО

от 9.5 до 9.5.22 (PostgreSQL)
от 9.6 до 9.6.18 (PostgreSQL)
от 10.0 до 10.13 (PostgreSQL)
от 11.0 до 11.8 (PostgreSQL)
от 12.0 до 12.3 (PostgreSQL)
от 8.3 до 11.0 включительно (Dell Security Management Server)

Тип ПО

СУБД
Средство защиты

Операционные системы и аппаратные платформы

Microsoft Corp. Windows -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/about/news/postgresql-123-118-1013-9618-and-9522-released-2038/
Для Dell Security Management Server:
https://www.dell.com/support/kbdoc/de-de/000188560/dsa-2021-130-dell-security-management-server-security-update-for-multiple-postgresql-vulnerabilities

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 48%
0.00249
Низкий

6.7 Medium

CVSS3

6 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-10733

CVSS3: 7.3
nvd
почти 5 лет назад

The Windows installer for PostgreSQL 9.5 - 12 invokes system-provided executables that do not have fully-qualified paths. Executables in the directory where the installer loads or the current working directory take precedence over the intended executables. An attacker having permission to add files into one of those directories can use this to execute arbitrary code with the installer's administrative rights.

msrc логотип

CVE-2020-10733

CVSS3: 7.3
msrc
больше 4 лет назад

Описание отсутствует

debian логотип

CVE-2020-10733

CVSS3: 7.3
debian
почти 5 лет назад

The Windows installer for PostgreSQL 9.5 - 12 invokes system-provided ...

github логотип

GHSA-r2p6-249c-3h56

github
около 3 лет назад

The Windows installer for PostgreSQL 9.5 - 12 invokes system-provided executables that do not have fully-qualified paths. Executables in the directory where the installer loads or the current working directory take precedence over the intended executables. An attacker having permission to add files into one of those directories can use this to execute arbitrary code with the installer's administrative rights.

EPSS

Процентиль: 48%
0.00249
Низкий

6.7 Medium

CVSS3

6 Medium

CVSS2