0x01 概述
pgjdbc 是官方的 PostgreSQL JDBC 驱动程序。近日,postgresql发布了新版pgjdbc版本,并披露了此前版本中的一起远程代码执行漏洞。
在 postgresql 数据库的 jdbc 驱动程序中发现了一个安全漏洞。当攻击者控制 jdbc url 或属性时,使用 postgresql 库的系统将受到攻击。pgjdbc 根据通过 `authenticationPluginClassName`、`sslhostnameverifier`、`socketFactory`、`sslfactory`、`sslpasswordcallback` 连接属性提供的类名实例化插件实例。但是,驱动程序在实例化类之前没有验证类是否实现了预期的接口。这可能导致通过任意类加载远程代码执行。建议相关用户及时升级。
0x02 漏洞编号
CVE-2022-21724
0x03 漏洞等级
漏洞等级:高危
CVSS评分:CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:C/C:H/I:H/A:H | 8.5
0x04 影响版本
pgjdbc < 42.3.2
0x05 漏洞处置
该漏洞的细节已经公开,建议相关用户及时更新pgjdbc到安全版本,当前安全版本为42.3.2。
0x06 参考链接
https://github.com/pgjdbc/pgjdbc/commit/f4d0ed69c0b3aae8531d83d6af4c57f22312c813
https://jdbc.postgresql.org/index.html
原文始发于微信公众号(锋刃科技):【漏洞情报】PostgreSQL JDBC 驱动远程代码执行漏洞(CVE-2022-21724)
