PT-2024-2043 · Pgx+2 · Pgx+2

Paul-Gerste-Sonarsource

·

Publicado

2024-03-04

·

Atualizado

2026-05-21

·

CVE-2024-27304

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Versões do pgx anteriores à 4.18.2
Versões do pgx anteriores à 5.5.4
Descrição
Pode ocorrer injeção de SQL se um invasor conseguir fazer com que uma única consulta ou mensagem de ligação exceda 4 GB de tamanho. Um estouro de inteiro no cálculo do tamanho da mensagem pode fazer com que essa mensagem de grande porte seja enviada como várias mensagens sob o controle do invasor.
Recomendações
Para versões do pgx anteriores à 4.18.2, atualize para a versão 4.18.2 ou posterior.
Para versões do pgx anteriores à 5.5.4, atualize para a versão 5.5.4 ou posterior.
Como solução temporária, rejeite entradas de usuário grandes o suficiente para fazer com que uma única consulta ou mensagem de ligação exceda 4 GB de tamanho.

Exploit

Correção

SQL injection

Integer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89CWE-190

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2024-12202
ALT-PU-2024-12410
ALT-PU-2024-9408
ALT-PU-2024-9897
AZL-35752
AZL-35762
BDU:2024-01921
CVE-2024-27304
GHSA-7JWH-3VRQ-Q3M8
GHSA-MRWW-27VC-GGHV
GO-2024-2606

Produtos afetados

Alt Linux
Debian
Pgx