Уязвимость чтения произвольных байтов памяти сервера с использованием команды "UPDATE ... RETURNING" в PostgreSQL
Описание
Обнаружена уязвимость в postgresql, которая позволяет аутентифицированному пользователю базы данных прочитать произвольные байты памяти сервера. Для этого злоумышленник использует команду UPDATE ... RETURNING на специально сформированной таблице. Основная угроза этой уязвимости заключается в компрометации конфиденциальности данных.
Затронутое ПО
- PostgreSQL
Тип уязвимости
Нарушение конфиденциальности данных
Ссылки
- Issue TrackingPatchThird Party Advisory
- Third Party Advisory
- Vendor Advisory
- Issue TrackingPatchThird Party Advisory
- Third Party Advisory
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
6.5 Medium
CVSS3
4 Medium
CVSS2
Дефекты
Связанные уязвимости
A flaw was found in postgresql. Using an UPDATE ... RETURNING command on a purpose-crafted table, an authenticated database user could read arbitrary bytes of server memory. The highest threat from this vulnerability is to data confidentiality.
A flaw was found in postgresql. Using an UPDATE ... RETURNING command on a purpose-crafted table, an authenticated database user could read arbitrary bytes of server memory. The highest threat from this vulnerability is to data confidentiality.
A flaw was found in postgresql. Using an UPDATE ... RETURNING command ...
A flaw was found in postgresql. Using an UPDATE ... RETURNING command on a purpose-crafted table, an authenticated database user could read arbitrary bytes of server memory. The highest threat from this vulnerability is to data confidentiality.
Уязвимость реализации команды UPDATE ... RETURNING системы управления базами данных PostgreSQL, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
EPSS
6.5 Medium
CVSS3
4 Medium
CVSS2