← Back
Web Application
CVE-2024-27289 high CVSS 8.1

pgx is a PostgreSQL driver and toolkit for Go. Prior to version 4.18.2, SQL injection can occur when all of the following conditions are met: the non-default simple protocol is used; a placeholder for...

Summary

pgx is a PostgreSQL driver and toolkit for Go. Prior to version 4.18.2, SQL injection can occur when all of the following conditions are met: the non-default simple protocol is used; a placeholder for a numeric value must be immediately preceded by a minus; there must be a second placeholder for a s...

AI summary openai / gpt-4o

pgxはGo用のPostgreSQLドライバーで、バージョン4.18.2より前ではSQLインジェクションの脆弱性が存在します。これは、特定の条件下で非デフォルトのシンプルプロトコルを使用した場合に発生します。問題はバージョン4.18.2で修正されています。ワークアラウンドとして、シンプルプロトコルを使わないか、プレースホルダーの前にマイナスを置かないようにします。
❓ What is the problem
pgxにおけるSQLインジェクションの脆弱性
📍 Affected scope
pgxのバージョン4.18.2未満
🔥 Severity
Go言語で使用されるPostgreSQLドライバーにおいて、ユーザー制御可能なパラメータを通じてSQLインジェクションが可能。CVSSスコアは8.1で、高い重要性を持つ。
🔧 How to fix
バージョン4.18.2にアップデートして、脆弱性を修正する。
🛡️ Workaround
シンプルプロトコルを使用しないか、プレースホルダーの前にマイナスを置かない。
🔍 Detection
pgxを使用しているコードを確認し、該当バージョンを使っていないかチェックする。

References

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →