Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-06539

Опубликовано: 10 мар. 2022
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость драйвера JDBC pgjdbc для подключения Java-программ к базе данных PostgreSQL связана с созданием произвольных файлов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

Вендор

Сообщество свободного программного обеспечения
ООО «Ред Софт»
АО "НППКТ"
PostgreSQL Global Development Group

Наименование ПО

Debian GNU/Linux
РЕД ОС
ОСОН ОСнова Оnyx
pgjdbc

Версия ПО

10 (Debian GNU/Linux)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
до 2.6 (ОСОН ОСнова Оnyx)
от 42.1.0 до 42.1.4 включительно (pgjdbc)
от 42.3.0 до 42.3.3 (pgjdbc)

Тип ПО

Операционная система
Сетевое средство

Операционные системы и аппаратные платформы

Сообщество свободного программного обеспечения Debian GNU/Linux 10
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
АО "НППКТ" ОСОН ОСнова Оnyx до 2.6

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Для pgjdbc:
https://github.com/pgjdbc/pgjdbc/pull/2454/commits/017b929977b4f85795f9ad2fa5de6e80978b8ccc
https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-673j-qm5f-xpv8
https://jdbc.postgresql.org/documentation/changelog.html#version_42.3.3
https://jdbc.postgresql.org/documentation/head/tomcat.html
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2022-26520
Для ОСОН ОСнова Оnyx: Обновление программного обеспечения libpgjava до версии 42.2.5-2+deb10u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 69%
0.00622
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2022-26520

CVSS3: 9.8
ubuntu
больше 3 лет назад

** DISPUTED ** In pgjdbc before 42.3.3, an attacker (who controls the jdbc URL or properties) can call java.util.logging.FileHandler to write to arbitrary files through the loggerFile and loggerLevel connection properties. An example situation is that an attacker could create an executable JSP file under a Tomcat web root. NOTE: the vendor's position is that there is no pgjdbc vulnerability; instead, it is a vulnerability for any application to use the pgjdbc driver with untrusted connection properties.

redhat логотип

CVE-2022-26520

CVSS3: 9.8
redhat
больше 3 лет назад

In pgjdbc before 42.3.3, an attacker (who controls the jdbc URL or properties) can call java.util.logging.FileHandler to write to arbitrary files through the loggerFile and loggerLevel connection properties. An example situation is that an attacker could create an executable JSP file under a Tomcat web root. NOTE: the vendor's position is that there is no pgjdbc vulnerability; instead, it is a vulnerability for any application to use the pgjdbc driver with untrusted connection properties

nvd логотип

CVE-2022-26520

CVSS3: 9.8
nvd
больше 3 лет назад

In pgjdbc before 42.3.3, an attacker (who controls the jdbc URL or properties) can call java.util.logging.FileHandler to write to arbitrary files through the loggerFile and loggerLevel connection properties. An example situation is that an attacker could create an executable JSP file under a Tomcat web root. NOTE: the vendor's position is that there is no pgjdbc vulnerability; instead, it is a vulnerability for any application to use the pgjdbc driver with untrusted connection properties

debian логотип

CVE-2022-26520

CVSS3: 9.8
debian
больше 3 лет назад

In pgjdbc before 42.3.3, an attacker (who controls the jdbc URL or pro ...

suse-cvrf логотип

SUSE-SU-2022:2655-1

suse-cvrf
почти 3 года назад

Security update for postgresql-jdbc

EPSS

Процентиль: 69%
0.00622
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2