1.漏洞概述

2024 年 2 月 21 日，安全运营中心监测到 pgjdbc 存在 SQL 注入漏洞，漏洞编号：CVE-2024-1597，漏洞威胁等级：高危。

2.漏洞详情

pgjdbc 是 PostgreSQL 的 JDBC 驱动程序。

pgjdbc 受影响版本中配置为使用简单查询模式(preferQueryMode=SIMPLE，非默认情况)时存在 SQL 注入。

当 SQL 占位符前存在负号（-）时，用户传入的参数值中负号会被错误解释为行注释，攻击者可利用该特征造成 SQL 注入，破坏原有语句结构。

3.影响版本

9.3-1103-jdbc41<=postgresql<=42.7.1

4.处置建议

官方已发布补丁：https://github.com/pgjdbc/pgjdbc/commit/93b0fcb2711d9c1e3a2a03134369738a02a58b40

预警通告来源：赛尔网络安全运营中心

联系人：梁宇

邮箱：liangyu@cernet.com

电话：15848147651