Se ha reportado un nuevo aviso de seguridad sobre una vulnerabilidad que afecta a la base de datos PostgreSQL, que permitiría a un atacante con privilegios realizar ejecución arbitraria, borrar/modificar datos, entre otros.
La vulnerabilidad identificada como CVE-2023-39417, de severidad “Alta”, con puntuación asignada de 7.5. Esta vulnerabilidad se debe a una falla de validación de entrada del usuario al utilizar las funciones @extowner@, @extschema@, o @extschema:…@ dentro de una sentencia entre comillas (comillas simples, comillas dobles y doble “$” desde PostgreSQL 8.0). Esto permitiría a un atacante con privilegio CREATE a nivel de base de datos a través de una consulta SQL especialmente diseñada, ejecutar código arbitrario como el superusuario Bootstrap, borrar/modificar/modificar datos y potencialmente tomar el control completo de la base de datos afectada.
El producto afectado es:
- PostgreSQL, versiones 11, 12, 13, 14 y 15.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en los siguientes enlaces:
Referencias:
- https://securityonline.info/cve-2023-39417-postgresql-code-execution-vulnerability/
- https://nvd.nist.gov/vuln/detail/CVE-2023-39417
- https://www.postgresql.org/docs/release/11.21
- https://www.postgresql.org/docs/release/12.16
- https://www.postgresql.org/docs/release/14.9
- https://www.postgresql.org/docs/release/15.4/
- https://www.postgresql.org/support/security/CVE-2023-39417/