PostgreSQL 10.x < 10.22 / 11.x < 11.17 / 12.x < 12.12 / 13.x < 13.8 / 14.x < 14.5 脆弱性
high Nessus プラグイン ID 164433
Language:
概要
リモートのデータベースサーバーは、脆弱性の影響を受けます。説明
リモートホストにインストールされている PostgreSQL のバージョンは、10.22 より前の 10、11.17 より前の 11、12.12 より前の 12、13.8 より前の 13、14.5 より前の 14 です。そのため、次の脆弱性の影響を受ける可能性があります。- postgresql に脆弱性が存在します。このセキュリティ問題では、攻撃には、少なくとも 1 つのスキーマに非一時的なオブジェクトを作成する権限、管理者がそのスキーマで影響を受ける拡張機能を作成または更新するように誘導または待機する能力、CREATE OR REPLACE または CREATE IF NOT EXISTS で対象となるオブジェクトを使用する被害者を誘導または待機する能力が必要です。 3 つの前提条件がすべて与えられた場合、攻撃者は、スーパーユーザーの可能性がある被害者ロールとして任意のコードを実行できます。既知の影響を受ける拡張には、PostgreSQL のバンドルされた拡張とバンドルされていない拡張の両方が含まれます。PostgreSQL はコアサーバーでこの攻撃をブロックするため、個々の拡張機能を変更する必要はありません。(CVE-2022-2625)
Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。
ソリューション
PostgreSQL 10.22/ 11.17/ 12.12/ 13.8/ 14.5 以降にアップグレードしてください。参考資料
プラグインの詳細
深刻度: High
ID: 164433
ファイル名: postgresql_20220811.nasl
バージョン: 1.6
タイプ: local
ファミリー: Databases
公開日: 2022/8/25
更新日: 2022/12/6
サポートされているセンサー: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus
リスク情報
VPR
リスクファクター: Medium
スコア: 5.9
CVSS v2
リスクファクター: High
基本値: 9
現状値: 6.7
ベクトル: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS スコアのソース: CVE-2022-2625
CVSS v3
リスクファクター: High
基本値: 8
現状値: 7
ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H
現状ベクトル: CVSS:3.0/E:U/RL:O/RC:C
脆弱性情報
CPE: cpe:/a:postgresql:postgresql
エクスプロイトの容易さ: No known exploits are available
パッチ公開日: 2022/8/11
脆弱性公開日: 2022/8/11
参照情報
CVE: CVE-2022-2625
IAVB: 2022-B-0028-S