CVE-2024-12745

Опубликовано: 24 дек. 2024

Источник: nvd

CVSS3: 8

EPSS Низкий

Описание

A SQL injection in the Amazon Redshift Python Connector v2.1.4 allows a user to gain escalated privileges via the get_schemas, get_tables, or get_columns Metadata APIs. Users are recommended to upgrade to the driver version 2.1.5 or revert to driver version 2.1.3.

Ссылки

https://aws.amazon.com/security/security-bulletins/AWS-2024-015/
Vendor Advisory
https://github.com/aws/amazon-redshift-python-driver/releases/tag/v2.1.5
Release Notes
https://github.com/aws/amazon-redshift-python-driver/security/advisories/GHSA-8gc2-vq6m-rwjw
Mitigation
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:amazon:redshift_connector:2.1.4:*:*:*:*:python:*:*

EPSS

Процентиль: 68%

0.00571

Низкий

8 High

CVSS3

Дефекты

CWE-89

Связанные уязвимости

GHSA-8gc2-vq6m-rwjw

CVSS3: 8

github

около 1 года назад

Amazon Redshift Python Connector vulnerable to SQL Injection

BDU:2025-00523

CVSS3: 8

fstec

около 1 года назад

Уязвимость драйвера Amazon Redshift Python Connector, связанная с непринятием мер по защите структуры SQL-запроса, позволяющая нарушителю повысить свои привилегии

EPSS

Процентиль: 68%

0.00571

Низкий

8 High

CVSS3

Дефекты

CWE-89