漏洞名称：PostgreSQL JDBC SQL 注入漏洞 CVE-2024-1597

漏洞描述：2024 年 2 月 22 日，深瞳漏洞实验室监测到一则 PostgreSQL 组件存在 SQL 注入漏洞的信息，该漏洞是由于设置 PreferQueryMode=SIMPLE 时PostgreSQL 对占位符的处理存在缺陷，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行 SQL 注入攻击，最终造成服务器敏感性信息泄露或执行任意代码。

漏洞编号：CVE-2024-1597，漏洞威胁等级：高危。

组件介绍：

PostgreSQL 是一种功能强大的开源对象关系型数据库系统，它以其可靠性、健壮性和性能而闻名，适用于处理从小型应用程序到大型互联网应用程序以及数据仓库的各种工作负载。

影响范围：

目前受影响的 PostgreSQL JDBC Driver 版本：

42.7.0 ≤ PostgreSQL JDBC Driver < 42.7.2

42.6.0 ≤ PostgreSQL JDBC Driver < 42.6.1

42.5.0 ≤ PostgreSQL JDBC Driver < 42.5.5

42.4.0 ≤ PostgreSQL JDBC Driver < 42.4.4

42.3.0 ≤ PostgreSQL JDBC Driver < 42.3.9

PostgreSQL JDBC Driver < 42.2.8

利用条件：

1、用户认证：未知

2、前置条件：开启 PreferQueryMode = SIMPLE

3、触发方式：远程

<综合评定利用难度>：较高，存在非默认的前置条件。

<综合评定威胁等级>：高危，能造成远程代码执行。

官方修复建议：

官方已发布修复建议，建议受影响的用户尽快升级至安全版本。

链接如下：

https://jdbc.postgresql.org/download/