Katalog CVE

CVE-2023-39418

NiskieCVSS 3.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.96%

Percentyl 57 — wyżej niż 57% wszystkich znanych CVE

Streszczenie

Wykryto podatność w PostgreSQL związaną z użyciem polecenia MERGE, które nie sprawdza nowych wierszy pod kątem polityk bezpieczeństwa wierszy zdefiniowanych dla operacji UPDATE i SELECT. Użytkownik mógłby przechowywać wiersze, które są zabronione przez polityki UPDATE i SELECT, ale dozwolone przez polityki INSERT.

Ocena ryzyka

Organizacja może być narażona na nieautoryzowany dostęp do danych, co może prowadzić do naruszenia polityk bezpieczeństwa i potencjalnych wycieków informacji.

Rekomendacja

Zaleca się przegląd i aktualizację polityk bezpieczeństwa wierszy oraz monitorowanie użycia polecenia MERGE, aby zapobiec przechowywaniu nieautoryzowanych danych.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was found in PostgreSQL with the use of the MERGE command, which fails to test new rows against row security policies defined for UPDATE and SELECT. If UPDATE and SELECT policies forbid some rows that INSERT policies do not forbid, a user could store such rows.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS