Уязвимость утечки конфиденциальной информации в PostgreSQL через сообщение об ошибке при нарушении ограничений
Описание
В PostgreSQL существует уязвимость, которая позволяет злоумышленникам с удалённым доступом получить конфиденциальные данные из столбцов. Это возможно за счёт вызова нарушения ограничения и последующего чтения сообщения об ошибке, содержащего эти данные.
Затронутые версии ПО
- PostgreSQL до версии 9.0.19
- PostgreSQL 9.1.x до версии 9.1.15
- PostgreSQL 9.2.x до версии 9.2.10
- PostgreSQL 9.3.x до версии 9.3.6
- PostgreSQL 9.4.x до версии 9.4.1
Тип уязвимости
Утечка информации
Ссылки
- Third Party Advisory
- Vendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Third Party Advisory
- Vendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
- Release NotesVendor Advisory
Уязвимые конфигурации
Одно из
Одно из
EPSS
4.3 Medium
CVSS3
4 Medium
CVSS2
Дефекты
Связанные уязвимости
PostgreSQL before 9.0.19, 9.1.x before 9.1.15, 9.2.x before 9.2.10, 9.3.x before 9.3.6, and 9.4.x before 9.4.1 allows remote authenticated users to obtain sensitive column values by triggering constraint violation and then reading the error message.
PostgreSQL before 9.0.19, 9.1.x before 9.1.15, 9.2.x before 9.2.10, 9.3.x before 9.3.6, and 9.4.x before 9.4.1 allows remote authenticated users to obtain sensitive column values by triggering constraint violation and then reading the error message.
PostgreSQL before 9.0.19, 9.1.x before 9.1.15, 9.2.x before 9.2.10, 9. ...
PostgreSQL before 9.0.19, 9.1.x before 9.1.15, 9.2.x before 9.2.10, 9.3.x before 9.3.6, and 9.4.x before 9.4.1 allows remote authenticated users to obtain sensitive column values by triggering constraint violation and then reading the error message.
EPSS
4.3 Medium
CVSS3
4 Medium
CVSS2