欢迎user
漏洞综述
漏洞背景
PostgreSQL是一个功能强大的开源对象关系数据库管理系统(ORDBMS)。PostgreSQL JDBC(PgJDBC)是一个采用Java编写的开源JDBC驱动程序,允许Java程序使用标准的、独立于数据库的Java代码连接到PostgreSQL数据库,使用PostgreSQL自带的网络协议进行通信。近日,新华三攻防实验室威胁预警团队监测到网络上爆发了PgJDBC中存在的一个远程代码执行漏洞(CVE-2022-21724),攻击者可以利用该漏洞加载任意类执行恶意代码。
漏洞详情
PgJDBC基于“authenticationPluginClassName”、“sslhostnameverifier”、“socketFactory”、“sslfactory”、“sslpasswordcallback”连接属性提供的类名实例化插件实例,但驱动程序在实例化类之前没有验证类是否实现了预期的接口,当攻击者可以控制 jdbc url 或属性时,从而可能导致通过加载任意类实现代码执行。
影响范围
PgJDBC < 42.3.2
漏洞等级:高危
处置方法
官方补丁
目前官方已发布漏洞修复版本,请受影响的用户及时升级至安全版本(42.3.2)以修复该漏洞,官方链接:https://github.com/pgjdbc/pgjdbc/tags
参考链接
https://github.com/pgjdbc/pgjdbc/commit/f4d0ed69c0b3aae8531d83d6af4c57f22312c813
https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-v7wg-cpwc-24m4