PT-2024-24941 · Amazon · Amazon Redshift Jdbc Driver
Paul-Gerste-Sonarsource
·
Publicado
2024-02-21
·
Atualizado
2025-06-12
·
CVE-2024-32888
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do driver JDBC do Amazon Redshift anteriores à 2.1.0.28
Descrição
A vulnerabilidade permite a injeção de SQL ao usar a propriedade de conexão não padrão
preferQueryMode=simple em combinação com código de aplicativo que contenha uma instrução SQL vulnerável que anule o valor de um parâmetro. Não há vulnerabilidade no driver ao usar o modo de consulta padrão, que é o modo estendido. A propriedade preferQueryMode não é um parâmetro suportado no driver JDBC do Redshift e é um código herdado do driver JDBC do Postgres. Os usuários que não substituírem as configurações padrão para utilizar esse modo de consulta não suportado não são afetados.Recomendações
Para versões do driver JDBC do Amazon Redshift anteriores à 2.1.0.28, não use a propriedade de conexão
preferQueryMode=simple para mitigar o problema.Atualize para a versão 2.1.0.28 ou posterior para corrigir o problema.
Exploit
Correção
SQL injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Amazon Redshift Jdbc Driver