Vulnerabilidad en PostgreSQL (CVE-2022-1552)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
31/08/2022
Última modificación:
07/11/2023
Descripción
Se ha encontrado un fallo en PostgreSQL. Se presenta un problema de esfuerzos incompletos para operar de forma segura cuando un usuario privilegiado está manteniendo los objetos de otro usuario. Los comandos Autovacuum, REINDEX, CREATE INDEX, REFRESH MATERIALIZED VIEW, CLUSTER y pg_amcheck activan las protecciones pertinentes demasiado tarde o no las activan en absoluto durante el proceso. Este fallo permite a un atacante con permiso para crear objetos no temporales en al menos un esquema ejecutar funciones SQL arbitrarias bajo una identidad de superusuario
Impacto
Puntuación base 3.x
8.80
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 10.0 (incluyendo) | 10.21 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 11.0 (incluyendo) | 11.16 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 12.0 (incluyendo) | 12.11 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 13.0 (incluyendo) | 13.7 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 14.0 (incluyendo) | 14.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://access.redhat.com/security/cve/CVE-2022-1552
- https://bugzilla.redhat.com/show_bug.cgi?id=2081126
- https://security.gentoo.org/glsa/202211-04
- https://security.netapp.com/advisory/ntap-20221104-0005/
- https://www.postgresql.org/about/news/postgresql-143-137-1211-1116-and-1021-released-2449/
- https://www.postgresql.org/support/security/CVE-2022-1552/