the\ gsetMeta-Command, 설정PSQL쿼리 결과에 따른 변수는 제어하는 변수를 구별하지 않습니다PSQL행동. 대화식 인 경우PSQL세션 용도\ gset손상된 서버를 쿼리 할 때 공격자는 실행중인 운영 체제 계정으로 임의 코드를 실행할 수 있습니다PSQL. 사용\ gset특별히 처리 된 변수 중에서 접두사가없는 경우, 예를 들어 모든 소문자 문자열은 배치되지 않은 공격을 배제합니다PSQL.
토토 프로젝트에 감사의 말을 전해 주신 Nick Cleaton에게 감사합니다.
| 영향을받는 버전 | 고정 | 수정 게시 |
|---|---|---|
| 13 | 13.1 | 토토 커뮤니티 : 토토 커뮤니티 |
| 12 | 12.5 | 토토 커뮤니티 : 토토 커뮤니티 |
| 11 | 11.10 | 토토 커뮤니티 : 토토 커뮤니티 |
| 10 | 10.15 | 토토 커뮤니티 : 토토 커뮤니티 |
| 9.6 | 9.6.20 | 토토 커뮤니티 : 토토 커뮤니티 |
| 9.5 | 9.5.24 | 토토 커뮤니티 : 토토 커뮤니티 |
자세한 내용은PostgreSQL : 사설 토토 사이트 관리 정책, 방문하십시오PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 7.5 |
|---|---|
| 구성 요소 | 클라이언트 |
| Vector | av : n/ac : h/pr : n/ui : r/s : u/c : h/i : h/a : h |
토토에서 새로운 보안 취약점을보고하려면 제발 에 이메일 보내기security@토토.org.
비 보안 버그를보고하려면 참조하십시오.503 토토 베이 페치 실패페이지.