【漏洞预警】pgjdbc 存在SQL注入漏洞CVE-2024-1597

cexlife 飓风网络安全 2024-02-20 21:25

漏洞描述:pgjdbc是PostgreSQL的JDBC驱动程序,pgjdbc 受影响版本中配置为使用简单查询模式(preferQueryMode=SIMPLE,非默认情况)时存在SQL注入,当SQL占位符前存在负号（-）时,用户传入的参数值中负号会被错误解释为行注释,攻击者可利用该特征造成SQL注入,破坏原有语句结构。

影响范围:org.postgresql:postgresql[9.3-1103-jdbc41,42.7.1]修复方案:官方已发布补丁:https://github.com/pgjdbc/pgjdbc/commit/93b0fcb2711d9c1e3a2a03134369738a02a58b40参考链接:https://github.com/pgjdbc/pgjdbc/commit/93b0fcb2711d9c1e3a2a03134369738a02a58b40https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-24rp-q3w6-vc56