漏洞标题
N/A
漏洞描述信息
PostgreSQL 8.1.x 之前8.1.4, 8.0.x 之前8.0.8, 7.4.x 之前7.4.13, 7.3.x 之前7.3.15, 早期版本允许依赖上下文的攻击者绕过使用多字节编码的应用中的SQL注入保护方法,这些多字节编码允许("\")字节0x5c成为多字节字符的尾字节,例如SJIS、 BIG5、GBK、GB18030和UHC,但无法理解多字节编码的客户端无法正确处理,即“基于编码的SQL注入”的第二个变种。注意:可以认为这是一个客户端和PostgreSQL之间交互错误的问题类,但已分配CVE。
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
PostgreSQL 8.1.x before 8.1.4, 8.0.x before 8.0.8, 7.4.x before 7.4.13, 7.3.x before 7.3.15, and earlier versions allows context-dependent attackers to bypass SQL injection protection methods in applications that use multibyte encodings that allow the "\" (backslash) byte 0x5c to be the trailing byte of a multibyte character, such as SJIS, BIG5, GBK, GB18030, and UHC, which cannot be handled correctly by a client that does not understand multibyte encodings, aka a second variant of "Encoding-Based SQL Injection." NOTE: it could be argued that this is a class of issue related to interaction errors between the client and PostgreSQL, but a CVE has been assigned since PostgreSQL is treating this as a preventative measure against this class of problem.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
PostgreSQL 多个SQL注入漏洞
漏洞描述信息
PostgreSQL是PostgreSQL开发组所研发的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。 PostgreSQL中存在多个SQL注入漏洞: 1 远程攻击者可以在SQL命令中嵌入特制字符串,使用无效编码的多字节字符绕过标准的字符转义模式,导致向数据库注入恶意的SQL命令。 2 如果允许将0x5c(反斜线的ASCII码)用作多字节字符的结尾字节的话,则在处理这个多字节时将ASCII单引号"'"转义为"\'"的操作存在漏洞。这至少包括
CVSS信息
N/A
漏洞类别
SQL注入