젠 토토에서 인용 구문의 부적절한 중립화libpq함수PQescapeLiteral(), PQescapeIdentifier(), PQescapeString()및PQescapeStringConn()데이터베이스 입력 공급자가 SQL을 달성하도록 허용합니다.
특정 사용 패턴에 주입합니다. 특히 SQL 주입에는 다음이 필요합니다.
함수 결과를 사용하여 psql에 대한 입력을 구성하는 애플리케이션
PostgreSQL 대화형 터미널. 마찬가지로, 인용의 부적절한 중립화
PostgreSQL 명령줄 유틸리티 프로그램의 구문을 통해 명령 소스를 사용할 수 있습니다.
SQL 주입을 달성하기 위한 라인 인수client_encoding이다빅5그리고서버_인코딩다음 중 하나입니다.EUC_TW또는MULE_INTERNAL. 젠 토토 17.3, 16.7 이전 버전,
15.11, 14.16, 13.19가 영향을 받습니다.
PostgreSQL 프로젝트는 수석 보안 연구원인 Stephen Fewer에게 감사드립니다. 이 문제를 보고해 주셔서 감사합니다.
| 영향을 받는 버전 | 고정됨 | 수정 사항 게시됨 |
|---|---|---|
| 17 | 17.3 | 사설 토토 사이트 : 사설 토토 |
| 16 | 16.7 | 사설 토토 사이트 : 사설 토토 |
| 15 | 15.11 | 사설 토토 사이트 : 사설 토토 |
| 14 | 14.16 | 사설 토토 사이트 : 사설 토토 |
| 13 | 13.19 | 사설 토토 사이트 : 사설 토토 |
다음에 대한 추가 정보를 원하시면PostgreSQL : 사설 토토 사이트 관리 정책, 다음을 방문하세요.PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 8.1 |
|---|---|
| 구성요소 | 클라이언트 |
| 벡터 | AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H |
PostgreSQL의 새로운 보안 취약점을 보고하려면 다음을 수행하십시오. 이메일을 보내주세요security@젠 토토.org.
비보안 버그를 보고하려면 다음을 참조하세요.503 토토 베이 페치 실패페이지.