그\gset설정하는 메타 명령psql쿼리 결과에 따른 변수, 제어하는 변수를 구별하지 않음psql행동. 대화형인 경우psql세션 사용\gset손상된 서버를 쿼리할 때 공격자는 운영 체제 계정이 실행 중인 것처럼 임의 코드를 실행할 수 있습니다.psql. 사용\gset특별히 처리되는 변수에서 찾을 수 없는 접두사가 있습니다. 예: 소문자 문자열은 패치되지 않은 공격을 배제합니다.psql.
토토 프로젝트는 이 문제를 보고한 Nick Cleaton에게 감사드립니다.
| 영향을 받는 버전 | 고정됨 | 수정 사항 게시됨 |
|---|---|---|
| 13 | 13.1 | 토토 커뮤니티 : 토토 커뮤니티 13 |
| 12 | 12.5 | 토토 커뮤니티 : 토토 커뮤니티 13 |
| 11 | 11.10 | 토토 커뮤니티 : 토토 커뮤니티 13 |
| 10 | 10.15 | 토토 커뮤니티 : 토토 커뮤니티 |
| 9.6 | 9.6.20 | 토토 커뮤니티 : 토토 커뮤니티 13 |
| 9.5 | 9.5.24 | 토토 커뮤니티 : 토토 커뮤니티 13 |
에 대한 추가 정보는PostgreSQL : 사설 토토 사이트 관리 정책, 다음을 방문하세요.PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 7.5 |
|---|---|
| 구성요소 | 클라이언트 |
| 벡터 | AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H |
PostgreSQL의 새로운 보안 취약점을 보고하려면 다음을 수행하십시오. 이메일을 보내주세요security@토토.org.
비보안 버그를 보고하려면 다음을 참조하세요.503 토토 베이 페치 실패페이지.