Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2021-3393

Опубликовано: 01 апр. 2021
Источник: nvd
CVSS3: 4.3
CVSS2: 3.5
EPSS Низкий

Уязвимость утечки информации через сообщения об ошибках в PostgreSQL

Описание

Обнаружена уязвимость утечки информации в PostgreSQL, которая позволяет злоумышленнику, имеющему разрешение на обновление, но не на чтение определенной колонки, создавать запросы, которые в некоторых случаях раскрывают значения из этой колонки в сообщениях об ошибках. Данная уязвимость позволяет злоумышленнику получить доступ к информации, хранящейся в колонке, которую он может записывать, но не читать.

Затронутые версии ПО

  • Версии до 13.2
  • Версии до 12.6
  • Версии до 11.11

Тип уязвимости

Утечка информации

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия до 11.11 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 12.0 (включая) до 12.6 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 13.0 (включая) до 13.2 (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:redhat:software_collections:-:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*

EPSS

Процентиль: 27%
0.00091
Низкий

4.3 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-209

Связанные уязвимости

ubuntu логотип

CVE-2021-3393

CVSS3: 4.3
ubuntu
около 4 лет назад

An information leak was discovered in postgresql in versions before 13.2, before 12.6 and before 11.11. A user having UPDATE permission but not SELECT permission to a particular column could craft queries which, under some circumstances, might disclose values from that column in error messages. An attacker could use this flaw to obtain information stored in a column they are allowed to write but not read.

redhat логотип

CVE-2021-3393

CVSS3: 3.1
redhat
больше 4 лет назад

An information leak was discovered in postgresql in versions before 13.2, before 12.6 and before 11.11. A user having UPDATE permission but not SELECT permission to a particular column could craft queries which, under some circumstances, might disclose values from that column in error messages. An attacker could use this flaw to obtain information stored in a column they are allowed to write but not read.

debian логотип

CVE-2021-3393

CVSS3: 4.3
debian
около 4 лет назад

An information leak was discovered in postgresql in versions before 13 ...

suse-cvrf логотип

openSUSE-SU-2021:0423-1

suse-cvrf
больше 4 лет назад

Security update for postgresql12

suse-cvrf логотип

SUSE-SU-2021:0695-1

suse-cvrf
больше 4 лет назад

Security update for postgresql12

EPSS

Процентиль: 27%
0.00091
Низкий

4.3 Medium

CVSS3

3.5 Low

CVSS2

Дефекты

CWE-209