CVE-2024-1597

Versões do pgjdbc anteriores à 42.7.2

Versões do pgjdbc anteriores à 42.6.1

Versões do pgjdbc anteriores à 42.5.5

Versões do pgjdbc anteriores à 42.4.4

Versões do pgjdbc anteriores à 42.3.9

Versões do pgjdbc anteriores à 42.2.28

O driver JDBC do PostgreSQL apresenta uma vulnerabilidade de injeção de SQL ao usar a propriedade de conexão PreferQueryMode=SIMPLE. Isso permite que um invasor injete SQL e altere consultas, contornando as proteções contra ataques de injeção de SQL. A vulnerabilidade requer que condições específicas sejam atendidas, incluindo um placeholder para um valor numérico imediatamente precedido por um sinal de menos e um segundo placeholder para um valor de string na mesma linha. Ambos os parâmetros devem ser controlados pelo usuário. A vulnerabilidade pode ser explorada para expor ativos e tem alto impacto na confidencialidade, integridade e disponibilidade.

Para resolver o problema, atualize o pgjdbc para a versão 42.7.2 ou posterior.

Para versões anteriores à 42.7.2, atualize para a versão 42.6.1 ou posterior.

Para versões anteriores à 42.6.1, atualize para a versão 42.5.5 ou posterior.

Para versões anteriores à 42.5.5, atualize para a versão 42.4.4 ou posterior.

Para versões anteriores à 42.4.4, atualize para a versão 42.3.9 ou posterior.

Para versões anteriores à 42.3.9, atualize para a versão 42.2.28 ou posterior.

Como solução temporária, considere desativar a propriedade de conexão PreferQueryMode=SIMPLE até que um patch esteja disponível.