PT-2021-1982 · Unknown+10 · Postgresql+9
Heikki Linnakangas
·
Publicado
2021-02-10
·
Atualizado
2026-01-30
·
CVE-2021-3393
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do PostgreSQL anteriores à 13.2
Versões do PostgreSQL anteriores à 12.6
Versões do PostgreSQL anteriores à 11.11
Descrição
Foi descoberta uma fuga de informações no PostgreSQL. Um usuário com permissão de UPDATE, mas sem permissão de SELECT para uma coluna específica, poderia criar consultas que, em determinadas circunstâncias, poderiam revelar valores dessa coluna em mensagens de erro. Isso poderia permitir que um invasor obtivesse informações armazenadas em uma coluna na qual ele tem permissão para gravar, mas não para ler.
Recomendações
Para versões anteriores à 13.2, atualize para a versão 13.2 ou posterior para resolver o problema.
Para versões anteriores à 12.6, atualize para a versão 12.6 ou posterior para resolver o problema.
Para versões anteriores à 11.11, atualize para a versão 11.11 ou posterior para resolver o problema.
Correção
Information Disclosure
Generation of Error Message Containing Sensitive Information
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Postgresql
Red Hat
Rocky Linux
Suse
Ubuntu