무지개 토토의 잘못된 권한 할당으로 인해 낮은 권한이 허용됩니다.
애플리케이션 사용자가 의도한 것과 다른 행을 보거나 변경할 수 있습니다. 공격
사용하려면 애플리케이션이 필요합니다.역할 설정,
세션 승인 설정,
또는 이에 상응하는 기능. 응용 프로그램 쿼리를 사용할 때 문제가 발생합니다.
공격자의 매개변수를 전송하거나 쿼리 결과를 공격자에게 전달합니다. 그렇다면
쿼리는 다음에 반응합니다.현재_설정('역할')또는 현재 사용자 ID로 수정될 수 있습니다.
또는 세션이 사용되지 않은 것처럼 데이터를 반환합니다.역할 설정또는세션 승인 설정. 공격자는 어떤 잘못된 사용자를 제어하지 않습니다.
아이디가 적용됩니다. 권한이 낮은 소스의 쿼리 텍스트는 여기서 문제가 되지 않습니다.
왜냐하면역할 설정그리고세션 승인 설정검토되지 않은 샌드박스가 아닙니다.
쿼리. 무지개 토토 17.1, 16.5, 15.9, 14.14, 13.17 및 12.21 이전 버전
영향을 받습니다.
무지개 토토 프로젝트는 이 문제를 보고한 Tom Lane에게 감사드립니다.
| 영향을 받는 버전 | 고정됨 | 수정 사항 게시됨 |
|---|---|---|
| 17 | 17.1 | 토토 캔 : 토토 캔 17.1, |
| 16 | 16.5 | 토토 캔 : 토토 캔 17.1, 16 |
| 15 | 15.9 | 토토 캔 : 토토 캔 17.1, 16 |
| 14 | 14.14 | 토토 캔 : 토토 캔 17.1, |
| 13 | 13.17 | 토토 캔 : 토토 캔 17.1, 16 |
| 12 | 12.21 | 토토 캔 : 토토 캔 17.1, |
다음에 대한 추가 정보를 원하시면PostgreSQL :, 다음을 방문하세요.PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 4.2 |
|---|---|
| 구성요소 | 코어 서버 |
| 벡터 | AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N |
PostgreSQL의 새로운 보안 취약점을 보고하려면 다음을 수행하십시오. 이메일을 보내주세요security@무지개 토토.org.
비보안 버그를 보고하려면 다음을 참조하세요.503 토토 베이 페치 실패페이지.