Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-2454

Опубликовано: 09 июн. 2023
Источник: nvd
CVSS3: 7.2
EPSS Низкий

Уязвимость выполнения произвольного кода через "schema_element" в PostgreSQL

Описание

В PostgreSQL обнаружена уязвимость, связанная с использованием schema_element, которая обходила защитные изменения search_path. Определённые вызовы базы данных могли позволить аутентифицированному злоумышленнику с повышенными привилегиями на уровне базы данных выполнить произвольный код.

Тип уязвимости

Выполнение произвольного кода

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 11.0 (включая) до 11.20 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 12.0 (включая) до 12.15 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 13.0 (включая) до 13.11 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 14.0 (включая) до 14.8 (исключая)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*
Версия от 15.0 (включая) до 15.3 (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:redhat:software_collections:-:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:*
Конфигурация 3
cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:*

EPSS

Процентиль: 48%
0.00244
Низкий

7.2 High

CVSS3

Дефекты

CWE-20
NVD-CWE-noinfo

Связанные уязвимости

ubuntu логотип

CVE-2023-2454

CVSS3: 7.2
ubuntu
около 2 лет назад

schema_element defeats protective search_path changes; It was found that certain database calls in PostgreSQL could permit an authed attacker with elevated database-level privileges to execute arbitrary code.

redhat логотип

CVE-2023-2454

CVSS3: 7.2
redhat
около 2 лет назад

schema_element defeats protective search_path changes; It was found that certain database calls in PostgreSQL could permit an authed attacker with elevated database-level privileges to execute arbitrary code.

debian логотип

CVE-2023-2454

CVSS3: 7.2
debian
около 2 лет назад

schema_element defeats protective search_path changes; It was found th ...

github логотип

GHSA-9fff-w5w3-5x9g

CVSS3: 7.2
github
около 2 лет назад

schema_element defeats protective search_path changes; It was found that certain database calls in PostgreSQL could permit an authed attacker with elevated database-level privileges to execute arbitrary code.

fstec логотип

BDU:2023-03247

CVSS3: 7.2
fstec
около 2 лет назад

Уязвимость системы управления базами данных PostgreSQL, связанная с недостатками разграничения доступа, позволяющая нарушителю повысить свои привилегии и выполнить произвольный код

EPSS

Процентиль: 48%
0.00244
Низкий

7.2 High

CVSS3

Дефекты

CWE-20
NVD-CWE-noinfo