一、 漏洞 CVE-2024-1597 基础信息
漏洞标题
pgjdbc通过生成行注释进行SQL注入
来源:AIGC 神龙大模型
漏洞描述信息
pgjdbc,即PostgreSQL JDBC驱动程序,如果使用PreferQueryMode=SIMPLE,攻击者可以注入SQL。请注意,这不是默认设置。在默认模式下,没有漏洞。数字值占位符必须立即前缀为减号。第一次占位符之后,必须有第二个字符串值的占位符;两者都必须在同一行上。通过构建匹配的字符串有效载荷,攻击者可以注入SQL来修改查询,从而绕过参数化查询对SQL注入攻击提供的保护。42.7.2、42.6.1、42.5.5、42.4.4、42.3.9和42.2.8之前的版本受到影响。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:AIGC 神龙大模型
漏洞标题
pgjdbc SQL Injection via line comment generation
来源:美国国家漏洞数据库 NVD
漏洞描述信息
pgjdbc, the PostgreSQL JDBC Driver, allows attacker to inject SQL if using PreferQueryMode=SIMPLE. Note this is not the default. In the default mode there is no vulnerability. A placeholder for a numeric value must be immediately preceded by a minus. There must be a second placeholder for a string value after the first placeholder; both must be on the same line. By constructing a matching string payload, the attacker can inject SQL to alter the query,bypassing the protections that parameterized queries bring against SQL Injection attacks. Versions before 42.7.2, 42.6.1, 42.5.5, 42.4.4, 42.3.9, and 42.2.28 are affected.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
PostgreSQL JDBC Driver 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
PostgreSQL JDBC Driver是一个用 Pure Java(Type 4)编写的开源 JDBC 驱动程序,用于 PostgreSQL 本地网络协议中进行通信。 PostgreSQL JDBC Driver存在安全漏洞,该漏洞源于存在SQL注入漏洞。受影响的产品和版本:pgjdbc 42.2.28之前版本,42.3.9之前版本,42.4.4之前版本,42.5.5之前版本,42.6.1之前版本,42.7.2之前版本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-1597 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2024-1597 的情报信息