聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞是SQL注入漏洞,位于依赖 org.postgresql:postgresql中,但Atlassian公司表示它“展示了较低的评估风险”。该公司指出,“org.postgresql:postgresql中的这个依赖漏洞可导致未认证攻击者在易受利用的环境中暴露资产,它对机密性、完整性和可用性都具有较高影响,且无需任何用户交互。”
NIST旗下的NVD漏洞数据库对该漏洞描述称,“PostgreSQL JDBC 驱动 pgjdbc可导致攻击者使用 PreferQueryMode=SIMPLE注入SQL。”早于如下版本的版本均受影响:
42.7.2
42.6.1
42.5.5
42.4.4
42.3.9, and
42.2.28 (42.2.28.jre7中已修复)
维护人员在上周发布的一份安全公告中提到,“使用非默认的连接属性 preferQueryMode=simple 和拥有易受攻击的否定参数值的SQL的应用代码时,可能造成SQL注入。使用默认的query模式不会在驱动中造成漏洞。未覆写该query模式的用户不受影响。”
据称该漏洞已引入如下 Bamboo Data Center and Server 版本中:
8.2.1
9.0.0
9.1.0
9.2.1
9.3.0
9.4.0
9.5.0
Atlassian 公司还强调称,Bamboo 和其它Atlassian Data Center 产品不受该漏洞影响,因为它们并未在 SQL 数据库连接设置中使用 PreferQueryMode=SIMPLE。
建议用户将实例更新至最新版本。
Atlassian Confluence 远程代码执行漏洞(CVE-2023-22527)安全风险通告
Atlassian 提醒注意严重的 Confluence 漏洞,可导致数据丢失
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~