22 février 2024
Une faille critique de niveau maximal (score CVSS v3.1 10/10) a été découverte tout récemment dans PostgreSQL. Cette faille identifiée CVE-2024-1597 permet de l’injection SQL sous certaines configurations. Cette faille permet par le biais de requêtes spécifiquement construites d’injecter du code SQL sans être authentifié sur le système.
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-1597
Condition d’exploitation de la faille : le paramètre PreferQueryMode=SIMPLE doit être indiqué explicitement dans l’usage du driver. Important : ce n’est pas le comportement par défaut, qui est « EXTENDED » selon la documentation officielle
https://jdbc.postgresql.org/documentation/use/
Après vérification, Operis utilise le mode par défaut (EXTENDED), et nos outils ne sont pas concernés par cette faille.