CVE-2024-1597

CRÍTIC: (10,00)

CVSS3: 8,7

El controlador JDBC de PostgreSQL (PgJDBC) és vulnerable a la injecció SQL. Un atacant remot podria enviar sentències SQL especialment dissenyades quan utilitza la propietat de connexió no predeterminada preferQueryMode=simple en combinació amb el codi d’aplicació que té un SQL vulnerable que nega un valor de paràmetre, cosa que podria permetre a l’atacant veure, afegir, modificar o suprimir informació a la base de dades de fons.

Sistemes Afectats

• PgJDBC PgJDBC 42.2.27
• PgJDBC PgJDBC 42.3.8
• PgJDBC PgJDBC 42.4.3
• PgJDBC PgJDBC 42.5.4
• PgJDBC PgJDBC 42.6.0
• PgJDBC PgJDBC 42.7.1

Remediació
Actualitzeu a la darrera versió de PgJDBC (42.7.2, 42.6.1, 42.5.5, 42.4.4, 42.3.9, 42.2.28, 42.2.28.jre7 o posterior), disponible al repositori GIT de pgjdbc. Vegeu-ne les Referències.

Referències

• SQL Injection via line comment generation
• pgjdbc, the PostgreSQL JDBC Driver, allows attacker to inject SQL if using PreferQueryMode=SIMPLE.