Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-1552

Опубликовано: 31 авг. 2022
Источник: nvd
CVSS3: 8.8
EPSS Низкий

Уязвимость выполнения произвольных SQL-функций с правами суперпользователя в PostgreSQL при управлении объектами с незавершёнными действиями безопасной эксплуатации

Описание

В PostgreSQL обнаружена уязвимость, связанная с некорректной безопасной обработкой объектов других пользователей привилегированным пользователем. Команды Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER и pg_amcheck активируют защитные механизмы либо слишком поздно, либо не активируют их вовсе в процессе выполнения. Эта уязвимость позволяет злоумышленнику с разрешениями на создание не временных объектов как минимум в одной схеме выполнять произвольные SQL-функции от имени суперпользователя.

Тип уязвимости

Выполнение произвольных SQL-функций

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 10.0 (включая) до 10.21 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 11.0 (включая) до 11.16 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 12.0 (включая) до 12.11 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 13.0 (включая) до 13.7 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 14.0 (включая) до 14.3 (исключая)

EPSS

Процентиль: 88%
0.04006
Низкий

8.8 High

CVSS3

Дефекты

CWE-459
CWE-89

Связанные уязвимости

ubuntu логотип

CVE-2022-1552

CVSS3: 8.8
ubuntu
почти 3 года назад

A flaw was found in PostgreSQL. There is an issue with incomplete efforts to operate safely when a privileged user is maintaining another user's objects. The Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER, and pg_amcheck commands activated relevant protections too late or not at all during the process. This flaw allows an attacker with permission to create non-temporary objects in at least one schema to execute arbitrary SQL functions under a superuser identity.

redhat логотип

CVE-2022-1552

CVSS3: 8.8
redhat
около 3 лет назад

A flaw was found in PostgreSQL. There is an issue with incomplete efforts to operate safely when a privileged user is maintaining another user's objects. The Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER, and pg_amcheck commands activated relevant protections too late or not at all during the process. This flaw allows an attacker with permission to create non-temporary objects in at least one schema to execute arbitrary SQL functions under a superuser identity.

msrc логотип

CVE-2022-1552

CVSS3: 8.8
msrc
почти 3 года назад

Описание отсутствует

debian логотип

CVE-2022-1552

CVSS3: 8.8
debian
почти 3 года назад

A flaw was found in PostgreSQL. There is an issue with incomplete effo ...

suse-cvrf логотип

SUSE-SU-2022:1908-1

suse-cvrf
около 3 лет назад

Security update for postgresql14

EPSS

Процентиль: 88%
0.04006
Низкий

8.8 High

CVSS3

Дефекты

CWE-459
CWE-89