漏洞标题
N/A
漏洞描述信息
在PostgreSQL 10.x Before 10.1、9.6.x Before 9.6.6和9.5.x Before 9.5.10中,INSERT... ON CONFLICT DO UPDATE命令揭示了 invoker 缺乏读取权限的表的内容。这些漏洞只影响攻击者缺乏完全读取权限但具有 INSERT 和 UPDATE 权限的表。漏洞绕过行级安全策略和 SELECT 权限的限制。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
漏洞类别
N/A
漏洞标题
N/A
漏洞描述信息
INSERT ... ON CONFLICT DO UPDATE commands in PostgreSQL 10.x before 10.1, 9.6.x before 9.6.6, and 9.5.x before 9.5.10 disclose table contents that the invoker lacks privilege to read. These exploits affect only tables where the attacker lacks full read access but has both INSERT and UPDATE privileges. Exploits bypass row level security policies and lack of SELECT privilege.
CVSS信息
N/A
漏洞类别
信息暴露
漏洞标题
PostgreSQL 安全漏洞
漏洞描述信息
PostgreSQL是PostgreSQL开发组所研发的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。 PostgreSQL中存在安全绕过漏洞。远程攻击者可利用该漏洞绕过安全限制,执行未授权的操作。以下版本受到影响:PostgreSQL 10.1之前的10.x版本,9.6.6之前的9.6.x版本,9.5.10之前的9.5.x版本。
CVSS信息
N/A
漏洞类别
信息泄露