Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-00612

Опубликовано: 14 мая 2020
Источник: fstec
CVSS3: 6.7
CVSS2: 6
EPSS Низкий

Описание

Уязвимость установщика Windows installer системы управления базами данных PostgreSQL связана с некорректной обработкой пути поиска. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии и выполнить произвольный код

Вендор

PostgreSQL Global Development Group
Dell Technologies

Наименование ПО

PostgreSQL
Security Management Server

Версия ПО

от 9.5 до 9.5.22 (PostgreSQL)
от 9.6 до 9.6.18 (PostgreSQL)
от 10.0 до 10.13 (PostgreSQL)
от 11.0 до 11.8 (PostgreSQL)
от 12.0 до 12.3 (PostgreSQL)
от 8.3 до 11.0 включительно (Security Management Server)

Тип ПО

СУБД
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Microsoft Corp Windows -

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 6,7)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для PostgreSQL:
https://www.postgresql.org/about/news/postgresql-123-118-1013-9618-and-9522-released-2038/
Для Dell Security Management Server:
https://www.dell.com/support/kbdoc/de-de/000188560/dsa-2021-130-dell-security-management-server-security-update-for-multiple-postgresql-vulnerabilities

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 46%
0.00232
Низкий

6.7 Medium

CVSS3

6 Medium

CVSS2

Связанные уязвимости

nvd логотип

CVE-2020-10733

CVSS3: 7.3
nvd
около 5 лет назад

The Windows installer for PostgreSQL 9.5 - 12 invokes system-provided executables that do not have fully-qualified paths. Executables in the directory where the installer loads or the current working directory take precedence over the intended executables. An attacker having permission to add files into one of those directories can use this to execute arbitrary code with the installer's administrative rights.

msrc логотип

CVE-2020-10733

CVSS3: 7.3
msrc
около 5 лет назад

The Windows installer for PostgreSQL 9.5 - 12 invokes system-provided executables that do not have fully-qualified paths. Executables in the directory where the installer loads or the current working directory take precedence over the intended executables. An attacker having permission to add files into one of those directories can use this to execute arbitrary code with the installer's administrative rights.

debian логотип

CVE-2020-10733

CVSS3: 7.3
debian
около 5 лет назад

The Windows installer for PostgreSQL 9.5 - 12 invokes system-provided ...

github логотип

GHSA-r2p6-249c-3h56

github
больше 3 лет назад

The Windows installer for PostgreSQL 9.5 - 12 invokes system-provided executables that do not have fully-qualified paths. Executables in the directory where the installer loads or the current working directory take precedence over the intended executables. An attacker having permission to add files into one of those directories can use this to execute arbitrary code with the installer's administrative rights.

EPSS

Процентиль: 46%
0.00232
Низкий

6.7 Medium

CVSS3

6 Medium

CVSS2