PT-2024-2157 · Pgx+2 · Pgx+2

Paul-Gerste-Sonarsource

·

Publicado

2024-03-04

·

Atualizado

2026-05-21

·

CVE-2024-27289

CVSS v4.0

8.7

Alta

VetorAV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Nome do software vulnerável e versões afetadas
Versões do pgx anteriores à 4.18.2
Descrição
O problema está relacionado à injeção de SQL no driver e kit de ferramentas pgx para PostgreSQL em Go. Ele ocorre quando o protocolo simples não padrão é usado, um placeholder para um valor numérico é imediatamente precedido por um sinal de menos, há um segundo placeholder para um valor de string após o primeiro placeholder na mesma linha e ambos os valores dos parâmetros são controlados pelo usuário. Isso permite que um invasor execute consultas SQL arbitrárias.
Recomendações
Como solução temporária, não utilize o protocolo simples nem coloque um sinal de menos diretamente antes de um placeholder.
Para versões anteriores à 4.18.2, atualize para a versão 4.18.2 para resolver o problema.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

ALSA-2025_16880
ALT-PU-2024-12202
ALT-PU-2024-12410
ALT-PU-2024-9408
ALT-PU-2024-9897
AZL-35750
AZL-35763
BDU:2024-02067
CVE-2024-27289
GHSA-M7WR-2XF7-CM9P
GO-2024-2605

Produtos afetados

Alt Linux
Debian
Pgx