CVE-2022-21724 in pgjdbc
Tóm tắt
Bởi VulDB • 03/06/2026
pgjdbc là trình điều khiển JDBC chính thức cho PostgreSQL. Một lỗ hổng bảo mật đã được phát hiện trong trình điều khiển JDBC cho cơ sở dữ liệu PostgreSQL trong quá trình nghiên cứu bảo mật. Hệ thống sử dụng thư viện PostgreSQL sẽ bị tấn công khi kẻ tấn công kiểm soát được URL JDBC hoặc các thuộc tính kết nối. pgjdbc khởi tạo các phiên bản plugin dựa trên tên lớp được cung cấp thông qua các thuộc tính kết nối `authenticationPluginClassName`, `sslhostnameverifier`, `socketFactory`, `sslfactory`, và `sslpasswordcallback`. Tuy nhiên, trình điều khiển không xác minh xem lớp có triển khai đúng giao diện dự kiến hay không trước khi khởi tạo lớp. Điều này có thể dẫn đến việc thực thi mã từ xa (RCE) thông qua việc tải các lớp tùy ý. Người dùng sử dụng plugin được khuyến nghị nâng cấp. Hiện chưa có giải pháp tạm thời nào được biết đến cho vấn đề này.
VulDB is the best source for vulnerability data and more expert information about this specific topic.