PT-2022-16482 · Timescale+1 · Timescaledb+1

Pedro Gallegos

·

Publicado

2022-03-13

·

Atualizado

2025-03-04

·

CVE-2022-24128

CVSS v3.1

8.0

Alta

VetorAV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões 1.x e 2.x do TimescaleDB anteriores à 2.5.2
Descrição
A vulnerabilidade permite a escalada de privilégios durante a instalação de extensões. Um usuário sem privilégios pode pré-criar objetos usando comandos como CREATE, que serão utilizados pelo instalador executado como superusuário. Para explorar essa vulnerabilidade, um usuário sem privilégios precisa criar objetos em um banco de dados e, em seguida, fazer com que um superusuário instale o TimescaleDB nesse banco de dados.
Recomendações
Para as versões 1.x e 2.x anteriores à 2.5.2, atualize para a versão 2.5.2 ou posterior para resolver o problema.

Correção

Incorrect Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-863

Identificadores relacionados

ALT-PU-2025-3660
BIT-TIMESCALEDB-2022-24128
CVE-2022-24128
GHSA-FH8V-663W-79W9
OPENSUSE-SU-2023:0046-1
OPENSUSE-SU-2023:0053-1

Produtos afetados

Alt Linux
Timescaledb