Sintesi

PostgreSQL Global Development Group ha rilasciato aggiornamenti di sicurezza per risolvere una vulnerabilità con gravità “critica” presente nel driver JDBC (PgJDBC) di PostgreSQL, noto DBMS open source.

Tale vulnerabilità potrebbe consentire attacchi di tipo SQL Injection qualora la connessione sia stata definita in modalità non default (con l’impostazione “preferQueryMode=simple”) e il codice dell’applicativo contenga istruzioni SQL vulnerabili a causa dell’utilizzo di parametri preceduti dal carattere meno “-“.

Note: un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete;

Tipologia

• Data Manipulation

Prodotti e versioni affette

PostgreSQL JDBC Driver

• 42.2.x, versioni precedenti alla 42.2.28
• 42.3.x, versioni precedenti alla 42.3.9
• 42.4.x, versioni precedenti alla 42.4.4
• 42.5.x, versioni precedenti alla 42.5.5
• 42.6.x, versioni precedenti alla 42.6.1
• 42.7.x, versioni precedenti alla 42.7.2

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di applicare le mitigazioni disponibili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.

Identificatori univoci vulnerabilità

CVE-2024-1597

Riferimenti

https://www.postgresql.org/about/news/postgresql-jdbc-4272-4261-4255-4244-4239-42228-and-42228jre7-security-update-for-cve-2024-1597-2812/

https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-24rp-q3w6-vc56

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.