网络安全技术 ·

PostgreSQL 高权限命令执行漏洞(CVE-2019-9193)


PostgreSQL 是一款关系型数据库。其9.3到11版本中存在一处“特性”,管理员或具有“COPY TO/FROM PROGRAM”权限的用户,可以使用这个特性执行任意命令。

默认账号密码为postgres/postgres。
首先连接到postgres中,并执行参考链接中的POC:

FROM PROGRAM语句将执行命令id并将结果保存在cmd_exec表中
大概就这些……

本文由 华盟网 作者:congtou 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

参与评论