CVE-2024-2339

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2024-2339
PostgreSQL Anonymizer v1.2 contains a vulnerability that allows a user who owns a table to elevate to superuser. A user can define a masking function for a column and place malicious code in that function. When a privileged user applies the masking rules using the static masking or the anonymous dump method, the malicious code is executed and can grant escalated privileges to the malicious user. PostgreSQL Anonymizer v1.2 does provide a protection against this risk with the restrict_to_trusted_schemas option, but that protection is incomplete. Users that don't own a table, especially masked users cannot exploit this vulnerability. The problem is resolved in v1.3.

8.0 /10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 1.3 / Impact : 6.0

Attack Vector NETWORK

Attack Complexity HIGH

Privileges Required HIGH

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope CHANGED

References
Link Resource
https://gitlab.com/dalibo/postgresql_anonymizer/-/commit/e517b38e62e50871b04011598e73a7308bdae9d9
https://gitlab.com/dalibo/postgresql_anonymizer/-/commit/e517b38e62e50871b04011598e73a7308bdae9d9
Configurations

No configuration.

History

21 Nov 2024, 09:09

Type Values Removed Values Added
References () https://gitlab.com/dalibo/postgresql_anonymizer/-/commit/e517b38e62e50871b04011598e73a7308bdae9d9 - () https://gitlab.com/dalibo/postgresql_anonymizer/-/commit/e517b38e62e50871b04011598e73a7308bdae9d9 -
Summary
  • (es) PostgreSQL Anonymizer v1.2 contiene una vulnerabilidad que permite a un usuario propietario de una tabla ascender a superusuario. Un usuario puede definir una función de enmascaramiento para una columna y colocar código malicioso en esa función. Cuando un usuario privilegiado aplica las reglas de enmascaramiento mediante el enmascaramiento estático o el método de volcado anónimo, el código malicioso se ejecuta y puede otorgar privilegios aumentados al usuario malintencionado. PostgreSQL Anonymizer v1.2 proporciona protección contra este riesgo con la opción restrict_to_trusted_schemas, pero esa protección está incompleta. Los usuarios que no poseen una mesa, especialmente los usuarios enmascarados, no pueden aprovechar esta vulnerabilidad. El problema se resuelve en v1.3.

08 Mar 2024, 20:15

Type Values Removed Values Added
New CVE
Information

Published : 2024-03-08 20:15

Updated : 2024-11-21 09:09

NVD link : CVE-2024-2339

Mitre link : CVE-2024-2339

CVE.ORG link : CVE-2024-2339

JSON object : View

Products Affected

No product.

CWE
CWE-20

Improper Input Validation


NetmanageIT Website NetmanageIT OSINT Web NetmanageIT OpenCTI NetmanageIT PDF Tools NetmanageIT CTO Corner Blog NetmanageIT Email Header Analyzer NetmanageIT Password Pusher NetmanageIT Internet Health and Latency Dashboard NetmanageIT Dedicated Speed Test Site NetmanageIT Ubuntu Mirror 10Gbps Copyright OpenCVE 2024