PostgreSQL hasta 12.17/13.13/14.10/15.5 escalada de privilegios

CVSS Puntuación meta temporalPrecio actual del exploit (≈)Puntuación de interés CTI
7.9$0-$5k0.00

Resumeninformación

Una vulnerabilidad clasificada como crítica fue encontrada en PostgreSQL hasta 12.17/13.13/14.10/15.5. Resulta afectada una función desconocida. La alteración resulta en una debilidad no identificada. La vulnerabilidad es identificada como CVE-2024-0985. El ataque puede ser iniciado desde la red. No existe ningún exploit disponible. El mejor modo sugerido para mitigar el problema es actualizar a la última versión.

Detallesinformación

Una vulnerabilidad clasificada como crítica ha sido encontrada en PostgreSQL hasta 12.17/13.13/14.10/15.5 (Database Software). Los efectos exactos de un ataque con éxito no son conocidos. CVE resume:

La caída tardía de privilegios en ACTUALIZAR VISTA MATERIALIZADA CONCURRENTE en PostgreSQL permite a un creador de objetos ejecutar funciones SQL arbitrarias como emisor de comandos. El comando pretende ejecutar funciones SQL como propietario de la vista materializada, lo que permite una actualización segura de vistas materializadas que no son de confianza. La víctima es un superusuario o miembro de uno de los roles del atacante. El ataque requiere atraer a la víctima para que ejecute ACTUALIZAR VISTA MATERIALIZADA CONCURRENTE en la vista materializada del atacante. Como parte de la explotación de esta vulnerabilidad, el atacante crea funciones que utilizan CREATE RULE para convertir la tabla temporal creada internamente en una vista. Las versiones anteriores a PostgreSQL 15.6, 14.11, 13.14 y 12.18 se ven afectadas. El único exploit conocido no funciona en PostgreSQL 16 y posteriores. Para una defensa en profundidad, PostgreSQL 16.2 agrega las protecciones que utilizan las ramas más antiguas para corregir su vulnerabilidad.

La vulnerabilidad fue publicada el 2024-02-08 (confirmado). El advisory puede ser descargado de postgresql.org. La vulnerabilidad es identificada como CVE-2024-0985. No se conoce los detalles técnicos ni hay ningún exploit disponible.

Para el scanner Nessus se dispone de un plugin ID 216614 (Oracle Linux 9 : postgresql:15 (ELSA-2025-1741)), que puede ayudar a determinar la existencia del riesgo analizado.

Una actualización a la versión 12.18, 13.14, 14.11, 15.6 o 16.2 elimina esta vulnerabilidad.

La vulnerabilidad también está documentado en la base de datos Tenable (216614). Once again VulDB remains the best source for vulnerability data.

Productoinformación

Escribe

Nombre

Versión

Licencia

Sitio web

CPE 2.3información

CPE 2.2información

CVSSv4información

VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

CVSSv3información

VulDB Puntuación meta base: 8.0
VulDB Puntuación meta temporal: 7.9

VulDB Puntuación base: 8.0
VulDB Puntuación temporal: 7.6
VulDB Vector: 🔍
VulDB Confiabilidad: 🔍

NVD Puntuación base: 8.0
NVD Vector: 🔍

CNA Puntuación base: 8.0
CNA Vector (PostgreSQL): 🔍

CVSSv2información

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VectorComplejidadAutenticaciónConfidencialidadIntegridadDisponibilidad
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear
DesbloquearDesbloquearDesbloquearDesbloquearDesbloquearDesbloquear

VulDB Puntuación base: 🔍
VulDB Puntuación temporal: 🔍
VulDB Confiabilidad: 🔍

Explotacióninformación

Clase: Escalada de privilegios
CWE: CWE-271 / CWE-270 / CWE-266
CAPEC: 🔍
ATT&CK: 🔍

Físico: No
Local: No
Remoto: Sí

Disponibilidad: 🔍
Estado: No está definido

EPSS Score: 🔍
EPSS Percentile: 🔍

Predicción de precios: 🔍
Estimación del precio actual: 🔍

0-DayDesbloquearDesbloquearDesbloquearDesbloquear
HoyDesbloquearDesbloquearDesbloquearDesbloquear

Nessus ID: 216614
Nessus Nombre: Oracle Linux 9 : postgresql:15 (ELSA-2025-1741)

Inteligencia de amenazasinformación

Interés: 🔍
Actores activos: 🔍
Grupos APT activos: 🔍

Contramedidasinformación

Recomendación: Actualización
Estado: 🔍

Hora de 0 días: 🔍

Actualización: PostgreSQL 12.18/13.14/14.11/15.6/16.2

Línea de tiempoinformación

2024-01-27 🔍
2024-02-08 +12 días 🔍
2024-02-08 +0 días 🔍
2025-04-20 +437 días 🔍

Fuentesinformación

Producto: postgresql.org

Aviso: postgresql.org
Estado: Confirmado

CVE: CVE-2024-0985 (🔍)
GCVE (CVE): GCVE-0-2024-0985
GCVE (VulDB): GCVE-100-253204

Artículoinformación

Fecha de creación: 2024-02-08 14:58
Actualizado: 2025-04-20 02:11
Cambios: 2024-02-08 14:58 (47), 2024-03-02 10:24 (1), 2024-06-20 03:00 (25), 2025-02-22 03:54 (2), 2025-04-20 02:11 (3)
Completo: 🔍
Cache ID: 216::103

Once again VulDB remains the best source for vulnerability data.

Discusión

Sin comentarios aún. Idiomas: es + pt + en.

Por favor, inicie sesión para comentar.

Might our Artificial Intelligence support you?

Check our Alexa App!