Vulnerabilidad en PostgreSQL (CVE-2012-0866)
Gravedad CVSS v2.0:
MEDIA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
18/07/2012
Última modificación:
11/04/2025
Descripción
CREATE TRIGGER en PostgreSQL v8.3.x antes de v8.3.18, v8.4.x antes de v8.4.11, v9.0.x antes de v9.0.7 y v9.1.x antes v9.1.3, no comprueba correctamente el permiso de ejecución de las funciones de disparo marcados como SECURITY DEFINER, lo que permite a usuarios autenticados remotamente ejecutar los disparadores restringidos en datos arbitrarios mediante la instalación del disparador en una tabla propiedad del atacante.
Impacto
Puntuación base 2.0
6.50
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:postgresql:postgresql:8.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.1:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.2:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.3:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.4:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.5:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.6:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.7:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.8:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.9:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.10:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.12:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.13:*:*:*:*:*:*:* | ||
| cpe:2.3:a:postgresql:postgresql:8.3.14:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
- http://lists.opensuse.org/opensuse-updates/2012-09/msg00060.html
- http://rhn.redhat.com/errata/RHSA-2012-0677.html
- http://rhn.redhat.com/errata/RHSA-2012-0678.html
- http://secunia.com/advisories/49272
- http://secunia.com/advisories/49273
- http://www.debian.org/security/2012/dsa-2418
- http://www.mandriva.com/security/advisories?name=MDVSA-2012%3A026
- http://www.mandriva.com/security/advisories?name=MDVSA-2012%3A027
- http://www.mandriva.com/security/advisories?name=MDVSA-2012%3A092
- http://www.postgresql.org/about/news/1377/
- http://www.postgresql.org/docs/8.3/static/release-8-3-18.html
- http://www.postgresql.org/docs/8.4/static/release-8-4-11.html
- http://www.postgresql.org/docs/9.0/static/release-9-0-7.html
- http://www.postgresql.org/docs/9.1/static/release-9-1-3.html
- http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10705
- http://lists.opensuse.org/opensuse-updates/2012-09/msg00060.html
- http://rhn.redhat.com/errata/RHSA-2012-0677.html
- http://rhn.redhat.com/errata/RHSA-2012-0678.html
- http://secunia.com/advisories/49272
- http://secunia.com/advisories/49273
- http://www.debian.org/security/2012/dsa-2418
- http://www.mandriva.com/security/advisories?name=MDVSA-2012%3A026
- http://www.mandriva.com/security/advisories?name=MDVSA-2012%3A027
- http://www.mandriva.com/security/advisories?name=MDVSA-2012%3A092
- http://www.postgresql.org/about/news/1377/
- http://www.postgresql.org/docs/8.3/static/release-8-3-18.html
- http://www.postgresql.org/docs/8.4/static/release-8-4-11.html
- http://www.postgresql.org/docs/9.0/static/release-9-0-7.html
- http://www.postgresql.org/docs/9.1/static/release-9-1-3.html