Vulnerabilidad en Ejecución de funciones PLpgSQL no autorizada en PostgreSQL (CVE-2007-3279)
Gravedad CVSS v2.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/06/2007
Última modificación:
09/04/2025
Descripción
PostgreSQL y posiblemente versiones posteriores, cuando el lenguaje PL/pgSQL (plpgsql) ha sido creado, otorga determinados privilegios plpgsql al domino PUBLIC, lo cual permite a atacantes remotos crear y ejecutar funciones, como se ha demostrado con funciones que realizan ataques locales de fuerza bruta para descubrimiento de contraseñas, lo cual podría evadir la detección de intrusiones.
Impacto
Puntuación base 2.0
10.00
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:postgresql:postgresql:8.1:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://osvdb.org/40900
- http://www.leidecker.info/pgshell/Having_Fun_With_PostgreSQL.txt
- http://www.mandriva.com/security/advisories?name=MDKSA-2007%3A188
- http://www.portcullis.co.uk/uplds/whitepapers/Having_Fun_With_PostgreSQL.pdf
- http://www.securityfocus.com/archive/1/471541/100/0/threaded
- https://exchange.xforce.ibmcloud.com/vulnerabilities/35144
- http://osvdb.org/40900
- http://www.leidecker.info/pgshell/Having_Fun_With_PostgreSQL.txt
- http://www.mandriva.com/security/advisories?name=MDKSA-2007%3A188
- http://www.portcullis.co.uk/uplds/whitepapers/Having_Fun_With_PostgreSQL.pdf
- http://www.securityfocus.com/archive/1/471541/100/0/threaded
- https://exchange.xforce.ibmcloud.com/vulnerabilities/35144