北京赛克艾威科技有限公司 2025-02-13
PostgreSQL libpq 函数 PQescapeLiteral\(\)、PQescapeIdentifier\(\)、PQescapeString\(\) 和 PQescapeStringConn\(\) 中的引用语法未正确中和,允许数据库输入提供者在某些使用模式下实现 SQL 注入。具体来说,SQL 注入需要应用程序使用函数结果来构建输入到 psql,即 PostgreSQL 交互式终端。同样,PostgreSQL 命令行实用程序中的引用语法未正确中和,允许命令行参数的来源在 client\_encoding 是 BIG5 且 server\_encoding 是 EUC\_TW 或 MULE\_INTERNAL 之一时实现 SQL 注入。受影响的版本包括 PostgreSQL 17.3、16.7、15.11、14.16 和 13.19 之前的版本。
暂无