【漏洞情报】PostgreSQL JDBC 驱动远程代码执行漏洞(CVE-2022-21724)

渗透技巧 8个月前 admin
486 0 0

0x01  概述


    

pgjdbc 是官方的 PostgreSQL JDBC 驱动程序。近日,postgresql发布了新版pgjdbc版本,并披露了此前版本中的一起远程代码执行漏洞。

【漏洞情报】PostgreSQL JDBC 驱动远程代码执行漏洞(CVE-2022-21724)

在 postgresql 数据库的 jdbc 驱动程序中发现了一个安全漏洞。当攻击者控制 jdbc url 或属性时,使用 postgresql 库的系统将受到攻击。pgjdbc 根据通过 `authenticationPluginClassName`、`sslhostnameverifier`、`socketFactory`、`sslfactory`、`sslpasswordcallback` 连接属性提供的类名实例化插件实例。但是,驱动程序在实例化类之前没有验证类是否实现了预期的接口。这可能导致通过任意类加载远程代码执行。建议相关用户及时升级。


0x02  漏洞编号


    

CVE-2022-21724


0x03  漏洞等级


    

漏洞等级:高危

CVSS评分:CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H | 8.5


0x04  影响版本


    

pgjdbc < 42.3.2


0x05  漏洞处置


    

该漏洞的细节已经公开,建议相关用户及时更新pgjdbc到安全版本,当前安全版本为42.3.2

0x06 参考链接


    

https://github.com/pgjdbc/pgjdbc/commit/f4d0ed69c0b3aae8531d83d6af4c57f22312c813

https://jdbc.postgresql.org/index.html



原文始发于微信公众号(锋刃科技):【漏洞情报】PostgreSQL JDBC 驱动远程代码执行漏洞(CVE-2022-21724)

版权声明:admin 发表于 2022年2月7日 上午6:54。
转载请注明:【漏洞情报】PostgreSQL JDBC 驱动远程代码执行漏洞(CVE-2022-21724) | CTF导航

相关文章

暂无评论

暂无评论...