漏洞标题
N/A
漏洞描述信息
在PostgreSQL 8.3.x 之前版本(8.3.18 之前版本、8.4.x 之前版本、9.0.x 之前版本和 9.1.x 之前版本)中,pg_dump 8.3.x 版本在 8.3.18 之前版本、8.4.x 版本在 8.4.11 之前版本、9.0.x 版本在 9.0.7 之前版本和 9.1.x 版本在 9.1.3 之前版本中存在 CRLF 注入漏洞,允许远程攻击者通过创建包含具有换行符的对象名称的文件,执行任意的 SQL 命令。这些文件将插入到用于数据库恢复的 SQL 脚本中。
CVSS信息
CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
CRLF injection vulnerability in pg_dump in PostgreSQL 8.3.x before 8.3.18, 8.4.x before 8.4.11, 9.0.x before 9.0.7, and 9.1.x before 9.1.3 allows user-assisted remote attackers to execute arbitrary SQL commands via a crafted file containing object names with newlines, which are inserted into an SQL script that is used when the database is restored.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
PostgreSQL 安全漏洞
漏洞描述信息
PostgreSQL是一款高级对象关系型数据库管理系统,支持扩展的SQL标准子集。 PostgreSQL 8.3.18之前的8.3.x版本、8.4.11之前的8.4.x版本、9.0.7之前的9.0.x版本和9.1.3之前的9.1.x版本中存在CRLF注入漏洞,该漏洞源于当向评论中插入对象名称时pg_dump中的输入验证错误。攻击者可利用该漏洞借助回车符或向dump脚本中插入SQL命令,避免评论。
CVSS信息
N/A
漏洞类别
SQL注入