PostgreSQL JDBC 團隊已發佈 42.2.26 和 42.4.1 版本,以解決安全性問題:CVE-2022-31197。 只有在使用 ResultSet.refreshRow() 時才會出現此問題。
先前,表格中鍵和資料欄位的欄位名稱都會原封不動地複製到產生的 SQL 中。 這使得帶有包含語句終止符的欄位名稱的惡意表格能夠被解析並作為多個獨立命令執行。 有關此安全公告的更多資訊,請參閱 此處
感謝 Sho Kato https://github.com/kato-sho 發現並報告了此問題
此致,
pgjdbc 團隊