Vulnerabilidad en PostgreSQL (CVE-2024-4317)
Gravedad CVSS v3.1:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/05/2024
Última modificación:
28/03/2025
Descripción
La falta de autorización en las vistas integradas de PostgreSQL pg_stats_ext y pg_stats_ext_exprs permite a un usuario de base de datos sin privilegios leer los valores más comunes y otras estadísticas de los comandos CREATE STATISTICS de otros usuarios. Los valores más comunes pueden revelar valores de columnas que el espía no podría leer de otro modo o resultados de funciones que no pueden ejecutar. La instalación de una versión no afectada solo corrige instalaciones nuevas de PostgreSQL, es decir, aquellas que se crean con la utilidad initdb después de instalar esa versión. Las instalaciones actuales de PostgreSQL seguirán siendo vulnerables hasta que sigan las instrucciones de las notas de la versión. Dentro de las versiones principales 14-16, las versiones menores anteriores a PostgreSQL 16.3, 15.7 y 14.12 se ven afectadas. Las versiones anteriores a PostgreSQL 14 no se ven afectadas.
Impacto
Puntuación base 3.x
3.10
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 14.0 (incluyendo) | 14.12 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 15.0 (incluyendo) | 15.7 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 16.0 (incluyendo) | 16.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página