Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - CVE - CVE-2024-10979

Реестр СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - CVE CVE-2024-10979
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CVE-2024-10979

PUBLISHED 10.01.2025

CNA: PostgreSQL

PostgreSQL PL/Perl environment variable changes execute arbitrary code

Обновлено: 14.11.2024
Incorrect control of environment variables in PostgreSQL PL/Perl allows an unprivileged database user to change sensitive process environment variables (e.g. PATH). That often suffices to enable arbitrary code execution, even if the attacker lacks a database server operating system user. Versions before PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17, and 12.21 are affected.

CWE

Идентификатор Описание
CWE-15 Возможность управления системой или настройками извне

БДУ ФСТЭК

Идентификатор Описание
BDU:2024-09679 Уязвимость переменных среды PL/Perl системы управления базами данных PostgreSQL, позволяющая нарушителю выполнить произвольный код

НКЦКИ уязвимости

Бюллетени НКЦКИ - уязвимости ПО
Идентификатор Дата бюллетеня Описание
VULN:20250117-10 17.01.2025 Выполнение произвольного кода в Dell OpenManage Network Integration (OMNI)

CVSS

Оценка Severity Версия Базовый вектор
8.8 HIGH 3.1 CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Доп. Информация

Product Status

PostgreSQL
Product: PostgreSQL
Vendor: n/a
Default status: unaffected
Версии:
Затронутые версии Статус
Наблюдалось в версиях от 17 до 17.1 affected
Наблюдалось в версиях от 16 до 16.5 affected
Наблюдалось в версиях от 15 до 15.9 affected
Наблюдалось в версиях от 14 до 14.14 affected
Наблюдалось в версиях от 13 до 13.17 affected
Наблюдалось в версиях от 0 до 12.21 affected
 

Ссылки

https://www.postgresql.org/support/security/CVE-2024-10979/

CISA ADP Vulnrichment

Обновлено: 21.11.2024
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none no total 2.0.3 20.11.2024

CVE Program Container

Обновлено: 10.01.2025
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.

Ссылки

https://github.com/fmora50591/postgresql-env-vuln/blob/main/README.md
https://security.netapp.com/advisory/ntap-20250110-0003/
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.