CVE-2023-39418

Опубликовано: 11 авг. 2023

Источник: nvd

CVSS3: 3.1

CVSS3: 4.3

EPSS Низкий

Уязвимость обхода политик безопасности строк при использовании команды MERGE в PostgreSQL

Описание

В PostgreSQL была обнаружена уязвимость, связанная с использованием команды MERGE. Команда не проверяет новые строки на соответствие политикам безопасности строк (row security policies), определенным для операций UPDATE и SELECT. Если политики UPDATE и SELECT запрещают некоторые строки, которые не запрещены политиками INSERT, пользователь может сохранить такие строки.

Тип уязвимости

Обход политик безопасности

Ссылки

https://access.redhat.com/errata/RHSA-2023:7785
Third Party Advisory
https://access.redhat.com/errata/RHSA-2023:7883
Third Party Advisory
https://access.redhat.com/errata/RHSA-2023:7884
Third Party Advisory
https://access.redhat.com/errata/RHSA-2023:7885
Third Party Advisory
https://access.redhat.com/security/cve/CVE-2023-39418
Third Party Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=2228112
Issue Tracking
Patch
Third Party Advisory
https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=cb2ae5741f2458a474ed3c31458d242e678ff229
Mailing List
Patch
https://www.postgresql.org/support/security/CVE-2023-39418/
Vendor Advisory
https://access.redhat.com/errata/RHSA-2023:7785
Third Party Advisory
https://access.redhat.com/errata/RHSA-2023:7883
Third Party Advisory
https://access.redhat.com/errata/RHSA-2023:7884
Third Party Advisory
https://access.redhat.com/errata/RHSA-2023:7885
Third Party Advisory
https://access.redhat.com/security/cve/CVE-2023-39418
Third Party Advisory
https://bugzilla.redhat.com/show_bug.cgi?id=2228112
Issue Tracking
Patch
Third Party Advisory
https://git.postgresql.org/gitweb/?p=postgresql.git;a=commitdiff;h=cb2ae5741f2458a474ed3c31458d242e678ff229
Mailing List
Patch
https://security.netapp.com/advisory/ntap-20230915-0002/
https://www.debian.org/security/2023/dsa-5553
https://www.postgresql.org/support/security/CVE-2023-39418/
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:*

Версия от 15.0 (включая) до 15.4 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*

cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:*

Конфигурация 3

cpe:2.3:o:debian:debian_linux:12.0:*:*:*:*:*:*:*

EPSS

Процентиль: 62%

0.00439

Низкий

3.1 Low

CVSS3

4.3 Medium

CVSS3

Дефекты

CWE-1220

NVD-CWE-noinfo

Связанные уязвимости

CVE-2023-39418

CVSS3: 3.1

ubuntu

почти 2 года назад

A vulnerability was found in PostgreSQL with the use of the MERGE command, which fails to test new rows against row security policies defined for UPDATE and SELECT. If UPDATE and SELECT policies forbid some rows that INSERT policies do not forbid, a user could store such rows.

CVE-2023-39418

CVSS3: 3.1

redhat

почти 2 года назад

CVE-2023-39418

CVSS3: 3.1

debian

почти 2 года назад

A vulnerability was found in PostgreSQL with the use of the MERGE comm ...

GHSA-chgx-7cw3-hr55

CVSS3: 3.1

github

почти 2 года назад

BDU:2023-04768

CVSS3: 3.1

fstec

почти 2 года назад

Уязвимость системы управления базами данных PostgreSQL, связанная с недостатками разграничения доступа, позволяющая нарушителю читать и обновлять защищенные данные

EPSS

Процентиль: 62%

0.00439

Низкий

3.1 Low

CVSS3

4.3 Medium

CVSS3

Дефекты

CWE-1220

NVD-CWE-noinfo