بهتازگی یک آسیبپذیری بحرانی با شناسه CVE-2024-0985 و شدت 8.0 در PostgreSQL شناسایی شده است که سازنده شیء سازنده شی میتواند به دلیل نقص در REFRESH MATERIALIZED VIEW CONCURRENTLY، میتواند توابع دلخواه SQL را به عنوان صادر کننده دستور اجرا کند. بهرهبرداری از این آسیبپذیری مستلزم مجاب کردن قربانی یا کاربر ویژه جهت اجرای REFRESH MATERIALIZED VIEW CONCURRENTLY به صورت همزمان میباشد.
محصولات تحتتأثیر
این آسیب¬پذیری محصولات زیر را تحتتأثیر قرار میدهد:
• PostgreSQL 12
• PostgreSQL 13
• PostgreSQL 14
• PostgreSQL 15
توصیههای امنیتی
با اعمال بهروزرسانی به نسخه های زیر این آسیبپذیری رفع میشود:
• PostgreSQL 12.18
• PostgreSQL 13.14
• PostgreSQL 14.11
• PostgreSQL 15.6
منبع خبر:
- 40