PostgreSQL JDBC 团队发布了 42.2.26 和 42.4.1 版本,修复了一个安全漏洞:CVE-2022-31197。此问题仅在使用 ResultSet.refreshRow() 时存在。
此前,表中键列和数据列的列名会原样复制到生成的 SQL 中。这使得包含语句终止符的恶意列名可能被解析并执行为多条独立的命令。关于此安全公告的更多信息请参阅此处 (https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-r38f-c4h4-hqq2)。
感谢 Sho Kato https://github.com/kato-sho 发现并报告了此问题。
此致,
pgjdbc 团队