Vulnerabilidad en Postgresql (CVE-2018-1058)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/03/2018
Última modificación:
19/01/2023
Descripción
Se ha encontrado un error en la forma en la que Postgresql permitía que un usuario modificase el comportamiento de una consulta para otros usuarios. Un atacante con una cuenta de usuario podría emplear este error para ejecutar código con permisos de superusuario en la base de datos. Se han visto afectadas las versiones 9.3 hasta la 10.
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 9.3 (incluyendo) | 9.3.22 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 9.4 (incluyendo) | 9.4.17 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 9.5 (incluyendo) | 9.5.12 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 9.6 (incluyendo) | 9.6.8 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 10.0 (incluyendo) | 10.3 (excluyendo) |
| cpe:2.3:o:canonical:ubuntu_linux:14.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:17.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:redhat:cloudforms:4.6:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.securityfocus.com/bid/103221
- https://access.redhat.com/errata/RHSA-2018:2511
- https://access.redhat.com/errata/RHSA-2018:2566
- https://access.redhat.com/errata/RHSA-2018:3816
- https://bugzilla.redhat.com/show_bug.cgi?id=1547044
- https://usn.ubuntu.com/3589-1/
- https://www.postgresql.org/about/news/1834/