PT-2024-3323 · Unknown+12 · Postgresql+11

Lukas Fittl

·

Publicado

2024-05-08

·

Atualizado

2026-04-03

·

CVE-2024-4317

CVSS v3.1

4.3

Média

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do PostgreSQL anteriores à 14.12
Versões do PostgreSQL anteriores à 15.7
Versões do PostgreSQL anteriores à 16.3
Descrição
O problema está relacionado a erros no gerenciamento de privilégios no sistema de banco de dados PostgreSQL, especificamente nas visualizações de sistema pg stats ext e pg stats ext exprs. Isso poderia permitir que um usuário sem privilégios lesse estatísticas de outros usuários, revelando potencialmente informações confidenciais, como valores de colunas ou resultados de funções que não podem ser executadas.
Recomendações
Para versões anteriores à 14.12, atualize para a versão 14.12 ou posterior.
Para versões anteriores à 15.7, atualize para a versão 15.7 ou posterior.
Para versões anteriores à 16.3, atualize para a versão 16.3 ou posterior.
Como solução alternativa temporária, considere restringir a visibilidade das entradas pg stats ext e pg stats ext exprs ao proprietário da tabela.

Correção

LPE

Missing Authorization

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-862CWE-264

Identificadores relacionados

ALSA-2024:5927
ALSA-2024:5929
ALSA-2024:6001
ALSA-2024:6020
ALT-PU-2024-7776
ALT-PU-2024-7778
ALT-PU-2024-7779
ALT-PU-2024-7780
ALT-PU-2024-7783
ALT-PU-2024-7785
ALT-PU-2024-7786
ALT-PU-2024-7787
ALT-PU-2024-7927
ALT-PU-2024-7929
ALT-PU-2024-7930
AZL-40654
BDU:2024-03569
BIT-POSTGRESQL-2024-4317
CESA-2024_5927
CESA-2024_6001
CVE-2024-4317
ECHO-DD9C-B422-C001
INFSA-2024_5927
INFSA-2024_5929
INFSA-2024_6001
INFSA-2024_6020
JLSEC-2026-51
MGASA-2024-0184
OPENSUSE-SU-2024:13946-1
OPENSUSE-SU-2024:13947-1
OPENSUSE-SU-2024:13950-1
OPENSUSE-SU-2024_1768-1
OPENSUSE-SU-2024_1777-1
OPENSUSE-SU-2024_2261-1
OPENSUSE-SU-2024_2266-1
OPENSUSE-SU-2024_3159-1
RHSA-2024:5927
RHSA-2024:5929
RHSA-2024:6001
RHSA-2024:6020
RHSA-2024:6142
RHSA-2024_5927
RHSA-2024_5929
RHSA-2024_6001
RHSA-2024_6020
RLSA-2024:5927
RLSA-2024:5929
ROSA-SA-2024-2485
ROSA-SA-2024-2486
SUSE-SU-2024:1651-1
SUSE-SU-2024:1652-1
SUSE-SU-2024:1653-1
SUSE-SU-2024:1703-1
SUSE-SU-2024:1768-1
SUSE-SU-2024:1777-1
SUSE-SU-2024:2261-1
SUSE-SU-2024:2262-1
SUSE-SU-2024:2262-2
SUSE-SU-2024:2262-3
SUSE-SU-2024:2266-1
SUSE-SU-2024:3159-1
SUSE-SU-2024:3159-2
SUSE-SU-2024_1651-1
SUSE-SU-2024_1652-1
SUSE-SU-2024_1653-1
SUSE-SU-2024_1703-1
SUSE-SU-2024_1768-1
SUSE-SU-2024_1777-1
SUSE-SU-2024_2261-1
SUSE-SU-2024_2262-2
SUSE-SU-2024_2262-3
SUSE-SU-2024_2266-1
SUSE-SU-2024_3159-1
USN-6802-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Postgresql
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Zvirt Node