CVE-2024-10976— PostgreSQL 安全漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2024-10976 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
PostgreSQL row security below e.g. subqueries disregards user ID changes
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Incomplete tracking in PostgreSQL of tables with row security allows a reused query to view or change different rows from those intended. CVE-2023-2455 and CVE-2016-2193 fixed most interaction between row security and user ID changes. They missed cases where a subquery, WITH query, security invoker view, or SQL-language function references a table with a row-level security policy. This has the same consequences as the two earlier CVEs. That is to say, it leads to potentially incorrect policies being applied in cases where role-specific policies are used and a given query is planned under one role and then executed under other roles. This scenario can happen under security definer functions or when a common user and query is planned initially and then re-used across multiple SET ROLEs. Applying an incorrect policy may permit a user to complete otherwise-forbidden reads and modifications. This affects only databases that have used CREATE POLICY to define a row security policy. An attacker must tailor an attack to a particular application's pattern of query plan reuse, user ID changes, and role-specific row security policies. Versions before PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, and 12.21 are affected.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:L/I:L/A:N
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
CWE-1250
来源: 美国国家漏洞数据库 NVD
Vulnerability Title
PostgreSQL 安全漏洞
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Description
PostgreSQL是PostgreSQL组织的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性,例如外键、触发器、视图等。 PostgreSQL存在安全漏洞,该漏洞源于对具有行安全性的表不完整跟踪,允许重复使用的查询查看或更改与预期不同的行。
来源: 中国国家信息安全漏洞库 CNNVD
CVSS Information
N/A
来源: 中国国家信息安全漏洞库 CNNVD
Vulnerability Type
N/A
来源: 中国国家信息安全漏洞库 CNNVD
受影响产品
| 厂商 | 产品 | 影响版本 | CPE | 订阅 |
|---|---|---|---|---|
| - | PostgreSQL | 17 ~ 17.1 | - |
二、漏洞 CVE-2024-10976 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2024-10976 的情报信息
请登录查看更多情报信息。
同批安全公告 · n/a · 2024-11-14 · 共 46 条
| CVE-2024-10979 | 8.8 HIGH | PostgreSQL 安全漏洞 |
| CVE-2022-31666 | 7.7 HIGH | Harbor 授权问题漏洞 |
| CVE-2022-31670 | 7.7 HIGH | Harbor 授权问题漏洞 |
| CVE-2022-31671 | 7.4 HIGH | Harbor 授权问题漏洞 |
| CVE-2022-31668 | 7.4 HIGH | Harbor 授权问题漏洞 |
| CVE-2022-31667 | 6.4 MEDIUM | Harbor 授权问题漏洞 |
| CVE-2022-31669 | 6.4 MEDIUM | Harbor 授权问题漏洞 |
| CVE-2024-11210 | 5.4 MEDIUM | EyouCMS 路径遍历漏洞 |
| CVE-2024-11211 | 4.7 MEDIUM | EyouCMS 安全漏洞 |
| CVE-2024-10978 | 4.2 MEDIUM | PostgreSQL 安全漏洞 |
| CVE-2024-10977 | 3.1 LOW | PostgreSQL 安全漏洞 |
| CVE-2024-50827 | Kashipara E-learning Management System 安全漏洞 | |
| CVE-2024-50835 | Kashipara E-learning Management System 安全漏洞 | |
| CVE-2024-50824 | Kashipara E-learning Management System 安全漏洞 | |
| CVE-2024-50833 | Kashipara E-learning Management System 安全漏洞 | |
| CVE-2024-50830 | Kashipara E-learning Management System 安全漏洞 | |
| CVE-2024-40579 | Virtuozzo Hybrid Server For WHMCS 安全漏洞 | |
| CVE-2024-52613 | tsMuxer 安全漏洞 | |
| CVE-2024-50836 | Kashipara E-learning Management System 安全漏洞 | |
| CVE-2024-50825 | Kashipara E-learning Management System 安全漏洞 |
显示前 20 条,共 46 条。 查看全部 → →
IV. Related Vulnerabilities
V. Comments for CVE-2024-10976
暂无评论