행 토토 캔이있는 테이블의 Postgresql에서 불완전한 추적 의도 한 것과 다른 행을 보거나 변경하는 쿼리.스포츠 토토 베트맨 : CVE-2023-2455 :and사설 토토 사이트 : CVE-2016-2193 :행 토토 캔과 사용자 ID 변경 간의 대부분의 상호 작용을 수정했습니다. 그들은 쿼리, 토토 캔 호출기보기 또는 SQL 언어 기능은 행 수준 토토 캔 정책이있는 테이블을 참조합니다. 이것은 두 개의 초기 CVE와 동일한 결과를 초래합니다. 다시 말해서, 그것은 잠재적으로 잘못된 정책이 적용되고 있습니다. 역할 별 정책을 사용하고 주어진 쿼리가 계획된 경우 하나의 역할과 다른 역할에서 실행되었습니다. 이 시나리오는 아래에서 발생할 수 있습니다 토토 캔 정의기 기능 또는 공통 사용자 및 쿼리가 처음에 계획 될 때 그런 다음 여러 세트 역할에 걸쳐 재건되었습니다.
잘못된 정책을 적용하면 사용자가 다른 방법으로 완료 할 수 있습니다.
읽기 및 수정. 이것은 사용한 데이터베이스에만 영향을 미칩니다정책 작성행 토토 캔 정책을 정의합니다. 공격자는 공격을 조정해야합니다
특정 응용 프로그램의 쿼리 계획 패턴 재사용, 사용자 ID 변경 및
역할 별 행 토토 캔 정책. 전에 버전
Postgresql 17.1, 16.5, 15.9, 14.14, 13.17 및 12.21은 영향을받습니다.
| 영향을받는 버전 | 고정 | 수정 게시 |
|---|---|---|
| 17 | 17.1 | 토토 캔 : 토토 캔 17 |
| 16 | 16.5 | 토토 캔 : 토토 캔 17 |
| 15 | 15.9 | 토토 캔 : 토토 캔 17 |
| 14 | 14.14 | 토토 캔 : 토토 캔 17 |
| 13 | 13.17 | 토토 캔 : 토토 캔 17 |
| 12 | 12.21 | 토토 캔 : 토토 캔 17 |
자세한 내용은PostgreSQL : 사설, 방문하십시오PostgreSQL : 사설 토토.
| 전체 점수 | 4.2 |
|---|---|
| 구성 요소 | Core Server |
| Vector | av : n/ac : h/pr : l/ui : n/s : u/c : l/i : l/a : n |
PostgreSQL에서 새로운 토토 캔 취약점을보고하려면 제발 에 이메일 보내기security@postgresql.org.
비 토토 캔 버그를보고하려면 참조하십시오.503 토토 캔 베이 페치 실패페이지.