Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Alertas

Vulnerabilidad en PostgresSQL JDBC Driver (CVE-2022-21724)

A principios de febrero de este año se descubrió una vulnerabilidad en el driver JDBC de PostgresSQL que permitía ejecución de código remoto en la máquina afectada. Recientemente se ha publicado una prueba de concepto para esta vulnerabilidad. [1]
23 Feb 2022

ANÁLISIS

El Driver JDBC de PostgresSQL crea instancias de complementos en función de los nombres de las clases proporcionadas: 'authenticationPluginClassName', 'sslhostnameverifier', 'socketFactory', 'sslfactory' y 'sslpasswordcallback'. Sin embargo, la vulnerabilidad reside en que el driver no verifica la clase antes de instanciar el complemento. Esto permite a un atacante poder ejecutar código remoto cargando una clase arbitaria.

Versiones afectadas:

  • pgjdbc < 42.3.2  [2]

La vulnerabilidad tiene una puntuación oficial CVSSv3 de 9.8, por lo que se considera de prioridad crítica. [3]

Además, la vulnerabilidad tiene fácil explotación, en el siguiente enlace se encuentra una ejemplo de prueba de concepto. [4]

RECOMENDACIONES

Los detalles de la vulnerabilidad se han hecho públicos y se recomienda a los usuarios actualicen pgjdbc a la versión 42.3.2 desde el repositorio oficial. [5]
    

REFERENCIAS

[1] https://github.com/pgjdbc/pgjdbc/security/advisories/GHSA-v7wg-cpwc-24m4
[2] https://www.ctfiot.com/25562.html
[3] https://vulmon.com/vulnerabilitydetails?qid=CVE-2022-21724&scoretype=cvssv3
[4] https://security.snyk.io/vuln/SNYK-JAVA-ORGPOSTGRESQL-2390459
[5] https://mvnrepository.com/artifact/org.postgresql/postgresql

Artículos relacionados
Vulnerabilidad crítica en HPE 2025
Leer más →
Vulnerabilidad crítica en Android 2025
Leer más →
Vulnerabilidad crítica en Roundcube 2025
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día