Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en PostgreSQL Anonymizer v1.2 (CVE-2024-2339)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20 Validación incorrecta de entrada
Fecha de publicación:
08/03/2024
Última modificación:
12/02/2025

Descripción

PostgreSQL Anonymizer v1.2 contiene una vulnerabilidad que permite a un usuario propietario de una tabla ascender a superusuario. Un usuario puede definir una función de enmascaramiento para una columna y colocar código malicioso en esa función. Cuando un usuario privilegiado aplica las reglas de enmascaramiento mediante el enmascaramiento estático o el método de volcado anónimo, el código malicioso se ejecuta y puede otorgar privilegios aumentados al usuario malintencionado. PostgreSQL Anonymizer v1.2 proporciona protección contra este riesgo con la opción restrict_to_trusted_schemas, pero esa protección está incompleta. Los usuarios que no poseen una mesa, especialmente los usuarios enmascarados, no pueden aprovechar esta vulnerabilidad. El problema se resuelve en v1.3.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:dalibo:anonymizer:1.2.0:*:*:*:*:postgresql:*:*