젠 토토에서 인용 구문의 부적절한 중화libpq기능pqescapeliteral (), PQESCAPEINDIFIER (), pqescapestring ()및PQESCAPESTRINGCONN ()데이터베이스 입력 제공자가 SQL을 달성 할 수 있도록 허용합니다
특정 사용 패턴의 주입. 구체적으로, SQL 주입은 필요합니다
기능 결과를 사용하여 PSQL에 입력을 구성하는 응용 프로그램
Postgresql 대화식 터미널. 마찬가지로 인용의 부적절한 중화
PostgreSQL 명령 줄 유틸리티 프로그램의 구문은 명령 소스를 허용합니다.
SQL 주입을 달성하기위한 라인 인수client_encodingisbig5andServer_encoding중 하나입니다EUC_TW또는mule_internal. 젠 토토 이전 버전 17.3, 16.7,
15.11, 14.16 및 13.19가 영향을받습니다.
젠 토토 프로젝트 감사합니다 Stephen Fewer, Principal Security Researcher, 이 문제를보고 한 Rapid7.
| 영향을받는 버전 | 고정 | 수정 게시 |
|---|---|---|
| 17 | 17.3 | 사설 토토 사이트 : 사설 |
| 16 | 16.7 | 사설 토토 사이트 : 사설 |
| 15 | 15.11 | 사설 토토 사이트 : 사설 |
| 14 | 14.16 | 사설 토토 사이트 : 사설 |
| 13 | 13.19 | 사설 토토 사이트 : 사설 |
자세한 내용은PostgreSQL : 사설 토토 사이트 관리 정책, 방문하십시오PostgreSQL : 사설 토토 사이트 관리 정책.
| 전체 점수 | 8.1 |
|---|---|
| 구성 요소 | 클라이언트 |
| Vector | av : n/ac : h/pr : n/ui : n/s : u/c : h/i : h/a : h |
PostgreSQL에서 새로운 보안 취약점을보고하려면 제발 에 이메일 보내기security@젠 토토.org.
비 보안 버그를보고하려면 참조하십시오.503 토토 베이 페치 실패페이지.