【CVE-2022-21724】PostgreSQLJDBC驱动远程代码执⾏⼀、背景
pgjdbc 是官⽅的 PostgreSQL JDBC 驱动程序。近⽇,postgresql发布了新版pgjdbc版本,并披露了此前版本中的⼀起远程代码执⾏漏洞。
在 postgresql 数据库的 jdbc 驱动程序中发现了⼀个安全漏洞。当攻击者控制 jdbc url 或属性时,使⽤ postgresql 库的系统将受到攻击。pgjdbc 根据通过 `authenticationPluginClassName`、`sslhostnameverifier`、`socketFactory`、`sslfactory`、
cve漏洞库`sslpasswordcallback` 连接属性提供的类名实例化插件实例。但是,驱动程序在实例化类之前没有验证类是否实现了预期的接⼝。这可能导致通过任意类加载远程代码执⾏。
⼆、影响版本
当前安全版本为42.3.2。
三、漏洞POC
⽬前该漏洞的细节已经公开:

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。