PostgreSQL JDBC 團隊已發布 42.7.2、42.6.1、42.5.5、42.4.4、42.3.9、42.2.28 及 42.2.28.jre7 版本,以解決安全性問題:CVE-2024-1597。(請注意,42.2.26.jre6 沒有修復程式,請參閱建議以取得解決方案)
當使用非預設的連線屬性 preferQueryMode=simple,並結合具有易受攻擊的 SQL(可否定參數值)的應用程式碼時,可能會發生 SQL 注入。
當使用預設查詢模式時,驅動程式不存在漏洞。 不會覆寫查詢模式的使用者不受影響。
請參閱 安全性建議 以取得詳細資訊。 感謝 Paul Gerste 發現並報告此問題。