PostgreSQL 非所有者刷新物化视图同时执行任意 SQL (CVE-2024-0985)
CVE编号
CVE-2024-0985利用情况
暂无补丁情况
N/A披露时间
2024-02-08漏洞描述
在PostgreSQL中,REFRESH MATERIALIZED VIEW CONCURRENTLY的late privilege drop漏洞允许对象创建者将任意SQL函数作为命令发起者执行。这个命令旨在将SQL函数以物化视图的所有者身份运行,从而安全地刷新不受信任的物化视图。受影响的目标是超级用户或攻击者角色之一的成员。此攻击需要诱使受害者在攻击者的物化视图上运行REFRESH MATERIALIZED VIEW CONCURRENTLY。作为利用此漏洞的一部分,攻击者创建使用CREATE RULE将内部构建的临时表转换为视图的函数。受影响的版本包括PostgreSQL 15.6、14.11、13.14和12.18之前的版本。目前已知的攻击方法在PostgreSQL 16及更高版本中不起作用。为了进行更深层次的防御,PostgreSQL 16.2增加了之前版本修复漏洞所使用的保护措施。解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接 |
|
|---|---|
| https://www.postgresql.org/support/security/CVE-2024-0985/ |
- 攻击路径 网络
- 攻击复杂度 低
- 权限要求 低
- 影响范围 未更改
- 用户交互 需要
- 可用性 高
- 保密性 高
- 完整性 高
| CWE-ID | 漏洞类型 |
Exp相关链接
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
评论