Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en postgresql (CVE-2021-3677)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200 Revelación de información
Fecha de publicación:
02/03/2022
Última modificación:
31/01/2023

Descripción

Se ha encontrado un fallo en postgresql. Una consulta diseñada a propósito puede leer bytes arbitrarios de la memoria del servidor. En la configuración por defecto, cualquier usuario autenticado de la base de datos puede completar este ataque a voluntad. El ataque no requiere la capacidad de crear objetos. Si la configuración del servidor incluye max_worker_processes=0, las versiones conocidas de este ataque no son viables. Sin embargo, las variantes no detectadas del ataque pueden ser independientes de esa configuración

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* 11.0 (incluyendo) 11.13 (excluyendo)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* 12.0 (incluyendo) 12.8 (excluyendo)
cpe:2.3:a:postgresql:postgresql:*:*:*:*:*:*:*:* 13.0 (incluyendo) 13.4 (excluyendo)
cpe:2.3:a:redhat:virtualization:4.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_for_ibm_z_systems:8.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux_for_power_little_endian:8.0:*:*:*:*:*:*:*
cpe:2.3:a:redhat:software_collections:1.0:*:*:*:*:*:*:*
cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*