PostgreSQL JDBC 团队已发布 42.7.2、42.6.1、42.5.5、42.4.4、42.3.9、42.2.28 和 42.2.28.jre7,以解决安全问题:CVE-2024-1597。(请注意,42.2.26.jre6 没有修复程序,请参阅关于解决方法建议的公告)
当使用非默认连接属性 preferQueryMode=simple,并结合应用程序代码中存在漏洞的 SQL 来否定参数值时,可能发生 SQL 注入。
当使用默认查询模式时,驱动程序不存在漏洞。不覆盖查询模式的用户不受影响。
有关详细信息,请参阅安全公告。感谢 Paul Gerste 发现并报告此问题。