摘要:
A vulnerability was found in PostgreSQL with the use of the MERGE command, which fails to test new rows against row security policies defined for UPDATE and SELECT. If UPDATE and SELECT policies forbid some rows that INSERT policies do not forbid, a user could store such rows.
安全等级: Low
公告ID: KylinSec-SA-2025-2308
发布日期: 2025年4月20日
关联CVE: CVE-2023-39418
在PostgreSQL中发现一个与MERGE命令相关的安全漏洞,该命令未能针对为UPDATE和SELECT定义的行安全策略对新行进行检测。如果UPDATE和SELECT策略禁止某些行而INSERT策略未禁止这些行,攻击者便可存储此类本应被禁止的数据行。
| cve名称 | 产品 | 组件 | 是否受影响 |
|---|---|---|---|
| CVE-2023-39418 | KY3.4-5A | postgresql-13 | Unaffected |
| CVE-2023-39418 | V6 | postgresql-13 | Unaffected |
