ALT-PU-2023-4810-2

Обновление пакета postgresql15-1C в ветке sisyphus

Версия15.3-alt3

Задание#326806

Опубликовано2026-02-04

Макс. серьёзностьHIGH

Серьёзность:

Закрытые проблемы (4)

HIGH7.5

Уязвимость системы управления базами данных PostgreSQL, связанная с возможностью SQL-инъекций в расширениях, позволяющая нарушителю выполнять произвольный SQL-запрос к базе данных

Опубликовано: 2023-08-21Изменено: 2025-03-19

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

CVSS 2.0ВЫСОКАЯ 7.1

CVSS:2.0/AV:N/AC:H/Au:S/C:C/I:C/A:C

Ссылки

CVE-2023-39417

LOW3.1

Уязвимость системы управления базами данных PostgreSQL, связанная с недостатками разграничения доступа, позволяющая нарушителю читать и обновлять защищенные данные

Опубликовано: 2023-08-21Изменено: 2025-03-05

CVSS 3.xНИЗКАЯ 3.1

CVSS:3.x/AV:N/AC:H/PR:L/UI:N/S:U/C:N/I:L/A:N

CVSS 2.0НИЗКАЯ 2.1

CVSS:2.0/AV:N/AC:H/Au:S/C:N/I:P/A:N

Ссылки

CVE-2023-39418

HIGH8.8

IN THE EXTENSION SCRIPT, a SQL Injection vulnerability was found in PostgreSQL if it uses @extowner@, @extschema@, or @extschema:...@ inside a quoting construct (dollar quoting, '', or ""). If an administrator has installed files of a vulnerable, trusted, non-bundled extension, an attacker with database-level CREATE privilege can execute arbitrary code as the bootstrap superuser.

Опубликовано: 2023-08-11Изменено: 2024-11-21

CVSS 3.xВЫСОКАЯ 8.8

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Ссылки

MEDIUM4.3

A vulnerability was found in PostgreSQL with the use of the MERGE command, which fails to test new rows against row security policies defined for UPDATE and SELECT. If UPDATE and SELECT policies forbid some rows that INSERT policies do not forbid, a user could store such rows.

Опубликовано: 2023-08-11Изменено: 2024-12-06

CVSS 3.xСРЕДНЯЯ 4.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

Ссылки