PostgreSQL JDBC 團隊已釋出 42.7.2、42.6.1、42.5.5、42.4.4、42.3.9、42.2.28 和 42.2.28.jre7 以解決一個安全問題:CVE-2024-1597。(請注意,42.2.26.jre6 沒有修復補丁,請參閱公告瞭解變通方法)
當使用非預設連線屬性 preferQueryMode=simple 並結合應用程式程式碼中存在易受攻擊的 SQL(會否定引數值)時,可能存在 SQL 注入漏洞。
當使用預設查詢模式時,驅動程式不存在漏洞。不覆蓋查詢模式的使用者不受影響。
有關詳細資訊,請參閱安全公告。感謝Paul Gerste發現並報告此問題。