PT-2020-5313 · Postgresql+8 · Postgresql+8
Andres Freund
·
Publicado
2020-08-12
·
Atualizado
2026-01-30
·
CVE-2020-14350
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do PostgreSQL anteriores à 12.4
Versões do PostgreSQL anteriores à 11.9
Versões do PostgreSQL anteriores à 10.14
Versões do PostgreSQL anteriores à 9.6.19
Versões do PostgreSQL anteriores à 9.5.23
Descrição
O problema está relacionado ao fato de as extensões do PostgreSQL não utilizarem o search path de forma segura em seus scripts de instalação. Isso poderia permitir que um invasor com privilégios suficientes induzisse um administrador a executar um script especialmente criado durante a instalação ou atualização de tal extensão, levando potencialmente ao acesso não autorizado a dados confidenciais, à violação da integridade dos dados e à negação de serviço.
Recomendações
Para versões anteriores à 12.4, atualize para a versão 12.4 ou posterior.
Para versões anteriores à 11.9, atualize para a versão 11.9 ou posterior.
Para versões anteriores à 10.14, atualize para a versão 10.14 ou posterior.
Para versões anteriores à 9.6.19, atualize para a versão 9.6.19 ou posterior.
Para versões anteriores à 9.5.23, atualize para a versão 9.5.23 ou posterior.
Correção
Untrusted Search Path
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Linuxmint
Postgresql
Red Hat
Rocky Linux
Suse
Ubuntu