Vulnerabilidad en las primeras consultas del cliente (CVE-2021-23222)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-522
Credenciales insuficientemente protegidas
Fecha de publicación:
02/03/2022
Última modificación:
07/11/2023
Descripción
Un atacante de tipo man-in-the-middle puede inyectar respuestas falsas a las primeras consultas del cliente, a pesar de haber usado la verificación y el cifrado de certificados SSL
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 9.6 (incluyendo) | 9.6.24 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 10.0 (incluyendo) | 10.19 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 11.0 (incluyendo) | 11.14 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 12.0 (incluyendo) | 12.9 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* | 13.0 (incluyendo) | 13.5 (excluyendo) |
| cpe:2.3:a:postgresql:postgresql:14.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bugzilla.redhat.com/show_bug.cgi?id=2022675
- https://git.postgresql.org/gitweb/?p=postgresql.git%3Ba%3Dcommitdiff%3Bh%3Dd83cdfdca9d918bbbd6bb209139b94c954da7228
- https://github.com/postgres/postgres/commit/160c0258802d10b0600d7671b1bbea55d8e17d45
- https://security.gentoo.org/glsa/202211-04
- https://www.postgresql.org/support/security/CVE-2021-23222/