2025年9月25日: PostgreSQL 18 发布!

CVE-2023-39417

扩展脚本中的 @substitutions@ 在引号内允许 SQL 注入

如果扩展脚本在使用引号构造(例如美元引号、''"")时使用了@extowner@@extschema@@extschema:...@,则该脚本存在漏洞。捆绑的扩展没有漏洞。漏洞利用出现在文档示例和非捆绑扩展中。因此,攻击的前提条件是管理员安装了易受攻击的、受信任的、非捆绑扩展的文件。在满足此前提条件的情况下,攻击者可以通过具有数据库级别的CREATE权限来以引导超级用户身份执行任意代码。PostgreSQL 将在核心服务器中阻止此攻击,因此无需修改单个扩展。

PostgreSQL 项目感谢 Micah Gates、Valerie Woolard、Tim Carey-Smith 和 Christoph Berg 报告此问题。

版本信息

受影响版本 已修复版本 修复发布日期
15 15.4 2023 年 8 月 10 日
14 14.9 2023 年 8 月 10 日
13 13.12 2023 年 8 月 10 日
12 12.16 2023 年 8 月 10 日
11 11.21 2023 年 8 月 10 日

有关 PostgreSQL 版本信息 的更多信息,请访问 版本信息页面

CVSS 3.0

总体得分 7.5
组件 核心服务器
向量 AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

报告安全漏洞

如果您希望报告 PostgreSQL 中的新安全漏洞,请发送电子邮件至 security@postgresql.org

如需报告非安全相关错误,请参阅 报告错误 页面。