Уязвимость записи пароля суперпользователя во временный файл без защиты в установщике Postgresql для Windows
Описание
Уязвимость позволяет злоумышленнику получить доступ к паролю суперпользователя, так как установщик для Windows записывает этот пароль во временный файл без защиты.
Затронутые версии ПО
- Postgresql для Windows версии до 11.5
- Postgresql для Windows версии до 10.10
- Postgresql для Windows версии до 9.6.15
- Postgresql для Windows версии до 9.5.19
- Postgresql для Windows версии до 9.4.24
Тип уязвимости
- Обход защиты
- Утечка конфиденциальных данных
Ссылки
- Issue TrackingThird Party Advisory
- Vendor Advisory
- Issue TrackingThird Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 9.4.24 (исключая)Версия от 9.5.0 (включая) до 9.5.19 (исключая)Версия от 9.6.0 (включая) до 9.6.15 (исключая)Версия от 10.0 (включая) до 10.10 (исключая)Версия от 11.0 (включая) до 11.5 (исключая)
Одновременно
Одно из
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*
EPSS
Процентиль: 34%
0.0013
Низкий
6.7 Medium
CVSS3
7 High
CVSS3
1.9 Low
CVSS2
Дефекты
CWE-522
CWE-522
Связанные уязвимости
CVSS3: 6.7
redhat
почти 6 лет назад
Postgresql Windows installer before versions 11.5, 10.10, 9.6.15, 9.5.19, 9.4.24 is vulnerable via superuser writing password to unprotected temporary file.
CVSS3: 7
github
около 3 лет назад
Postgresql Windows installer before versions 11.5, 10.10, 9.6.15, 9.5.19, 9.4.24 is vulnerable via superuser writing password to unprotected temporary file.
EPSS
Процентиль: 34%
0.0013
Низкий
6.7 Medium
CVSS3
7 High
CVSS3
1.9 Low
CVSS2
Дефекты
CWE-522
CWE-522