Vulnérabilité dans PostgreSQL

Date de publication : 28/09/2020

Une vulnérabilité a été découverte dans PostgreSQL. Elle peut permettre à un attaquant de provoquer une exécution de code arbitraire.

CVE-2020-10733 [Score CVSS v3 : 7.3] : Une vulnérabilité de type “unstrusted search path” a été découverte dans l’installateur de PostgreSQL pour Windows. Elle peut permettre à un attaquant local et authentifié de provoquer une exécution de code arbitraire avec des privilèges d’administrateur.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

Exécution de code arbitraire

Criticité

Score CVSS v3 : 7.3

Existence d’un code d’exploitation

Aucun code d’exploitation n’est disponible publiquement

Composants vulnérables

PostgreSQL versions 12.x antérieures à 12.3

PostgreSQL versions 11.x antérieures à 11.8

PostgreSQL versions 10.x antérieures à 10.13

PostgreSQL versions 9.6.x antérieures à 9.6.18

PostgreSQL versions 9.5.x antérieures à 9.5.22

CVE

CVE-2020-10733

Solutions ou recommandations

Mise en place de correctifs de sécurité

Mettre à jour PostgreSQL vers une version non vulnérable

Solution de contournement

Aucune solution de contournement

Liens

PostgreSQL 12.3, 11.8, 10.13, 9.6.18, and 9.5.22 Released!