CVE-2023-39418
NiskieCVSS 3.1Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 57 — wyżej niż 57% wszystkich znanych CVE
Streszczenie
Wykryto podatność w PostgreSQL związaną z użyciem polecenia MERGE, które nie sprawdza nowych wierszy pod kątem polityk bezpieczeństwa wierszy zdefiniowanych dla operacji UPDATE i SELECT. Użytkownik mógłby przechowywać wiersze, które są zabronione przez polityki UPDATE i SELECT, ale dozwolone przez polityki INSERT.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do danych, co może prowadzić do naruszenia polityk bezpieczeństwa i potencjalnych wycieków informacji.
Rekomendacja
Zaleca się przegląd i aktualizację polityk bezpieczeństwa wierszy oraz monitorowanie użycia polecenia MERGE, aby zapobiec przechowywaniu nieautoryzowanych danych.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was found in PostgreSQL with the use of the MERGE command, which fails to test new rows against row security policies defined for UPDATE and SELECT. If UPDATE and SELECT policies forbid some rows that INSERT policies do not forbid, a user could store such rows.

