PostgreSQL JDBC 团队已发布 42.7.2、42.6.1、42.5.5、42.4.4、42.3.9、42.2.28 和 42.2.28.jre7 以解决一个安全问题:CVE-2024-1597。(请注意,42.2.26.jre6 没有修复补丁,请参阅公告了解变通方法)
当使用非默认连接属性 preferQueryMode=simple 并结合应用程序代码中存在易受攻击的 SQL(会否定参数值)时,可能存在 SQL 注入漏洞。
当使用默认查询模式时,驱动程序不存在漏洞。不覆盖查询模式的用户不受影响。
有关详细信息,请参阅安全公告。感谢Paul Gerste发现并报告此问题。