CVE-2026-32687 in postgrexthông tin

Tóm tắt

Bởi VulDB • 13/05/2026

Lỗ hổng "Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')" (Tiêm nhiễm SQL) trong elixir-ecto postgrex (mô-đun 'Elixir.Postgrex.Notifications') cho phép thực hiện tiêm nhiễm SQL.

Tham số channel được truyền vào 'Elixir.Postgrex.Notifications':listen/3 và 'Elixir.Postgrex.Notifications':unlisten/3 được nội suy trực tiếp vào các lệnh SQL LISTEN "..." / UNLISTEN "..." mà không thoát ký tự ".". Kẻ tấn công có thể ảnh hưởng đến tên channel để chèn ký tự " nhằm thoát khỏi định danh được trích dẫn và nối thêm các lệnh SQL tùy ý. Vì kết nối thông báo sử dụng giao thức truy vấn đơn giản của PostgreSQL, các tải trọng đa lệnh được chấp nhận, cho phép nối chuỗi các lệnh DDL và DML (ví dụ: ; DROP TABLE ...; --). Việc nội suy không được kiểm soát tương tự cũng xảy ra trong handle_connect/1 khi phát lại các lệnh LISTEN sau khi kết nối lại.

Lỗ hổng này liên quan đến tệp chương trình lib/postgrex/notifications.ex và các thủ tục chương trình 'Elixir.Postgrex.Notifications':listen/3, 'Elixir.Postgrex.Notifications':unlisten/3, 'Elixir.Postgrex.Notifications':handle_connect/1.

Vấn đề này ảnh hưởng đến postgrex: từ phiên bản 0.16.0 trước 0.22.2, từ pkg:github/elixir-ecto/postgrex@266b530faf9bde094e31e0e4ab851f933fadc0f5 trước 0.22.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

chịu trách nhiệm

EEF

Đặt trước

13/03/2026

Tiết lộ

12/05/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00009

KEV

không

Các hoạt động

rất thấp

Nguồn

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-32687
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-32687
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-32687/

TrướcTổng QuanTiếp theo

Do you need the next level of professionalism?

Upgrade your account now!