Plataforma
postgresql
Componente
postgresql
Corregido en
11.0.1
10.0.1
9.6.1
9.5.1
Se ha identificado una vulnerabilidad en PostgreSQL versiones 11.x hasta la exclusión de 11.3, así como en versiones 10.x hasta la exclusión de 10.8, 9.6.x hasta la exclusión de 9.6.13 y 9.5.x hasta la exclusión de 9.5.17. PostgreSQL almacena estadísticas de columna, y un atacante puede explotar la falta de evaluación de políticas de seguridad de filas para leer los valores más comunes de ciertas columnas. La solución es actualizar a la versión 11.3.
Esta vulnerabilidad permite a un atacante con privilegios SELECT en una columna acceder a los valores más frecuentes almacenados en las estadísticas de la columna. Esto puede revelar información sensible, especialmente si la columna contiene datos personales o confidenciales. El ataque no requiere privilegios elevados en el servidor PostgreSQL, solo acceso SELECT a la tabla afectada. La exposición de estos valores comunes podría facilitar la ingeniería inversa de la base de datos o la identificación de patrones en los datos, lo que podría llevar a ataques más sofisticados. La severidad es baja, pero el impacto potencial en la confidencialidad de los datos es significativo.
Esta vulnerabilidad fue publicada el 30 de julio de 2019. No se ha reportado explotación activa en entornos de producción. No se encuentra en el catálogo KEV de CISA. No se han identificado públicamente pruebas de concepto (PoC) ampliamente disponibles, lo que sugiere un riesgo de explotación relativamente bajo en este momento.
Organizations running PostgreSQL versions 9.5, 9.6, and 10, particularly those handling sensitive data or operating in regulated industries, are at risk. Environments with complex row-level security policies that are not properly enforced are also more vulnerable. Shared hosting environments where multiple users have access to the same PostgreSQL instance should be carefully assessed.
• postgresql: Use psql to check the PostgreSQL version:
psql -U postgres -c "SELECT version();"• postgresql: Examine PostgreSQL logs for unusual query patterns or errors related to statistics collection. Look for queries accessing statistics tables directly.
• linux / server: Use journalctl to filter for PostgreSQL-related errors or warnings.
journalctl -u postgresql --since "1 week ago" | grep -i errordisclosure
patch
Estado del Exploit
EPSS
0.20% (42% percentil)
Vector CVSS
La mitigación principal es actualizar a PostgreSQL versión 11.3 o superior, que corrige la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda restringir el acceso SELECT a las columnas que almacenan información sensible. Además, se pueden implementar políticas de seguridad de filas más estrictas para limitar el acceso a los datos. Como medida temporal, se podría considerar la desactivación de la recopilación de estadísticas de columna, aunque esto puede afectar el rendimiento de las consultas. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta ejecutando una consulta que intente acceder a los valores de las estadísticas de la columna afectada.
Actualice PostgreSQL a la última versión disponible. Las versiones 9.5.17, 9.6.13, 10.8 y 11.3 corrigen esta vulnerabilidad. La actualización solucionará el problema de seguridad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2019-10130 is a vulnerability in PostgreSQL that allows attackers to read sensitive column values via query planning statistics. It affects versions ≤11.x (excluding 11.3), 10.x (excluding 10.8), and 9.x (excluding 9.6.13 and 9.5.17).
You are affected if you are running PostgreSQL versions 9.5, 9.6, 10, or 11 prior to the respective fixed versions (9.5.17, 9.6.13, 10.8, and 11.3).
Upgrade to PostgreSQL version 11.3 or later to resolve this vulnerability. If an immediate upgrade is not possible, implement row-level security policies.
There is no current evidence of active exploitation in the wild, although public proof-of-concept code exists.
Refer to the PostgreSQL security advisory at https://www.postgresql.org/announcements/security.php
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.