Уязвимость утечки произвольных данных серверной памяти в PostgreSQL через команду "INSERT ... ON CONFLICT ... DO UPDATE" на специально сформированной таблице
Описание
В PostgreSQL обнаружена уязвимость, связанная с использованием команды INSERT ... ON CONFLICT ... DO UPDATE на таблице, специально созданной для этой цели. Аутентифицированный пользователь базы данных способен читать произвольные байты из памяти сервера. Основная угроза данной уязвимости связана с конфиденциальностью данных.
Затронутое ПО
- PostgreSQL
Тип уязвимости
Утечка данных
Ссылки
- Issue TrackingPatchThird Party Advisory
- Third Party Advisory
- Third Party Advisory
- Vendor Advisory
- Issue TrackingPatchThird Party Advisory
- Third Party Advisory
- Third Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.5 Medium
CVSS3
4 Medium
CVSS2
Дефекты
Связанные уязвимости
A flaw was found in postgresql. Using an INSERT ... ON CONFLICT ... DO UPDATE command on a purpose-crafted table, an authenticated database user could read arbitrary bytes of server memory. The highest threat from this vulnerability is to data confidentiality.
A flaw was found in postgresql. Using an INSERT ... ON CONFLICT ... DO UPDATE command on a purpose-crafted table, an authenticated database user could read arbitrary bytes of server memory. The highest threat from this vulnerability is to data confidentiality.
A flaw was found in postgresql. Using an INSERT ... ON CONFLICT ... DO ...
A flaw was found in postgresql. Using an INSERT ... ON CONFLICT ... DO UPDATE command on a purpose-crafted table, an authenticated database user could read arbitrary bytes of server memory. The highest threat from this vulnerability is to data confidentiality.
Уязвимость реализации команд INSERT ... ON CONFLICT ... DO UPDATE системы управления базами данных PostgreSQL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
6.5 Medium
CVSS3
4 Medium
CVSS2