Vulnerabilidad en EnterpriseDB Postgres Advanced Server (EPAS) (CVE-2023-41113)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
12/12/2023
Última modificación:
14/12/2023
Descripción
Se descubrió un problema en EnterpriseDB Postgres Advanced Server (EPAS) antes de 11.21.32, 12.x antes de 12.16.20, 13.x antes de 13.12.16, 14.x antes de 14.9.0 y 15.x antes de 15.4.0. Permite a un usuario autenticado obtener información sobre si ciertos archivos existen en el disco, qué errores se producen, si los hay, al intentar leerlos y cierta información limitada sobre su contenido (independientemente de los permisos). Esto puede ocurrir cuando un superusuario ha configurado uno o más directorios para el acceso al sistema de archivos a través de CREATE DIRECTORY y ha adoptado ciertas configuraciones no predeterminadas para log_line_prefix y log_connections.
Impacto
Puntuación base 3.x
4.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:enterprisedb:postgres_advanced_server:*:*:*:*:*:*:*:* | 11.21.32 (excluyendo) | |
| cpe:2.3:a:enterprisedb:postgres_advanced_server:*:*:*:*:*:*:*:* | 12.0.0 (incluyendo) | 12.16.20 (excluyendo) |
| cpe:2.3:a:enterprisedb:postgres_advanced_server:*:*:*:*:*:*:*:* | 13.0.0 (incluyendo) | 13.12.17 (excluyendo) |
| cpe:2.3:a:enterprisedb:postgres_advanced_server:*:*:*:*:*:*:*:* | 14.0.0 (incluyendo) | 14.9.0 (excluyendo) |
| cpe:2.3:a:enterprisedb:postgres_advanced_server:*:*:*:*:*:*:*:* | 15.0.0 (incluyendo) | 15.4.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página