CVE-2006-2314 - 漏洞详情

CVE-2006-2314 (CNNVD-200605-468)

HIGH

中文标题:

PostgreSQL 多个SQL注入漏洞

英文标题:

PostgreSQL 8.1.x before 8.1.4, 8.0.x before 8.0.8, 7.4.x before 7.4.13, 7.3.x before 7.3.15, and ear...

CVSS分数: 7.5

发布时间: 2006-05-24 10:00:00

漏洞类型: SQL注入

状态: PUBLISHED

数据质量分数: 0.30

数据版本: v3

漏洞描述

中文描述:

PostgreSQL是PostgreSQL开发组所研发的一套自由的对象关系型数据库管理系统。该系统支持大部分SQL标准并且提供了许多其他特性，例如外键、触发器、视图等。 PostgreSQL中存在多个SQL注入漏洞： 1 远程攻击者可以在SQL命令中嵌入特制字符串，使用无效编码的多字节字符绕过标准的字符转义模式，导致向数据库注入恶意的SQL命令。 2 如果允许将0x5c(反斜线的ASCII码)用作多字节字符的结尾字节的话，则在处理这个多字节时将ASCII单引号"'"转义为"\'"的操作存在漏洞。这至少包括SJIS、BIG5、GBK、GB18030和UHC。如果在SQL命令中嵌入了不可信任字符，则在进行上述转换时存在SQL注入漏洞。

英文描述:

PostgreSQL 8.1.x before 8.1.4, 8.0.x before 8.0.8, 7.4.x before 7.4.13, 7.3.x before 7.3.15, and earlier versions allows context-dependent attackers to bypass SQL injection protection methods in applications that use multibyte encodings that allow the "\" (backslash) byte 0x5c to be the trailing byte of a multibyte character, such as SJIS, BIG5, GBK, GB18030, and UHC, which cannot be handled correctly by a client that does not understand multibyte encodings, aka a second variant of "Encoding-Based SQL Injection." NOTE: it could be argued that this is a class of issue related to interaction errors between the client and PostgreSQL, but a CVE has been assigned since PostgreSQL is treating this as a preventative measure against this class of problem.

CWE类型:

（暂无数据）

受影响产品

厂商	产品	版本	版本范围	平台	CPE
postgresql	postgresql	7.3	-	-	`cpe:2.3:a:postgresql:postgresql:7.3:::::::*`
postgresql	postgresql	7.3.1	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.1:::::::*`
postgresql	postgresql	7.3.2	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.2:::::::*`
postgresql	postgresql	7.3.3	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.3:::::::*`
postgresql	postgresql	7.3.4	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.4:::::::*`
postgresql	postgresql	7.3.5	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.5:::::::*`
postgresql	postgresql	7.3.6	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.6:::::::*`
postgresql	postgresql	7.3.7	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.7:::::::*`
postgresql	postgresql	7.3.8	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.8:::::::*`
postgresql	postgresql	7.3.9	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.9:::::::*`
postgresql	postgresql	7.3.10	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.10:::::::*`
postgresql	postgresql	7.3.11	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.11:::::::*`
postgresql	postgresql	7.3.12	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.12:::::::*`
postgresql	postgresql	7.3.13	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.13:::::::*`
postgresql	postgresql	7.3.14	-	-	`cpe:2.3:a:postgresql:postgresql:7.3.14:::::::*`
postgresql	postgresql	7.4	-	-	`cpe:2.3:a:postgresql:postgresql:7.4:::::::*`
postgresql	postgresql	7.4.1	-	-	`cpe:2.3:a:postgresql:postgresql:7.4.1:::::::*`
postgresql	postgresql	7.4.2	-	-	`cpe:2.3:a:postgresql:postgresql:7.4.2:::::::*`
postgresql	postgresql	7.4.3	-	-	`cpe:2.3:a:postgresql:postgresql:7.4.3:::::::*`
postgresql	postgresql	7.4.4	-	-	`cpe:2.3:a:postgresql:postgresql:7.4.4:::::::*`
postgresql	postgresql	7.4.5	-	-	`cpe:2.3:a:postgresql:postgresql:7.4.5:::::::*`
postgresql	postgresql	7.4.6	-	-	`cpe:2.3:a:postgresql:postgresql:7.4.6:::::::*`
postgresql	postgresql	7.4.7	-	-	`cpe:2.3:a:postgresql:postgresql:7.4.7:::::::*`
postgresql	postgresql	7.4.8	-	-	`cpe:2.3:a:postgresql:postgresql:7.4.8:::::::*`
postgresql	postgresql	7.4.9	-	-	`cpe:2.3:a:postgresql:postgresql:7.4.9:::::::*`
postgresql	postgresql	7.4.10	-	-	`cpe:2.3:a:postgresql:postgresql:7.4.10:::::::*`
postgresql	postgresql	7.4.11	-	-	`cpe:2.3:a:postgresql:postgresql:7.4.11:::::::*`
postgresql	postgresql	7.4.12	-	-	`cpe:2.3:a:postgresql:postgresql:7.4.12:::::::*`
postgresql	postgresql	8.0	-	-	`cpe:2.3:a:postgresql:postgresql:8.0:::::::*`
postgresql	postgresql	8.0.1	-	-	`cpe:2.3:a:postgresql:postgresql:8.0.1:::::::*`
postgresql	postgresql	8.0.2	-	-	`cpe:2.3:a:postgresql:postgresql:8.0.2:::::::*`
postgresql	postgresql	8.0.3	-	-	`cpe:2.3:a:postgresql:postgresql:8.0.3:::::::*`
postgresql	postgresql	8.0.4	-	-	`cpe:2.3:a:postgresql:postgresql:8.0.4:::::::*`
postgresql	postgresql	8.0.5	-	-	`cpe:2.3:a:postgresql:postgresql:8.0.5:::::::*`
postgresql	postgresql	8.0.6	-	-	`cpe:2.3:a:postgresql:postgresql:8.0.6:::::::*`
postgresql	postgresql	8.0.7	-	-	`cpe:2.3:a:postgresql:postgresql:8.0.7:::::::*`
postgresql	postgresql	8.1	-	-	`cpe:2.3:a:postgresql:postgresql:8.1:::::::*`
postgresql	postgresql	8.1.1	-	-	`cpe:2.3:a:postgresql:postgresql:8.1.1:::::::*`
postgresql	postgresql	8.1.2	-	-	`cpe:2.3:a:postgresql:postgresql:8.1.2:::::::*`
postgresql	postgresql	8.1.3	-	-	`cpe:2.3:a:postgresql:postgresql:8.1.3:::::::*`

解决方案

中文解决方案:

（暂无数据）

英文解决方案:

（暂无数据）

临时解决方案:

（暂无数据）

参考链接

postgresql-ascii-sql-injection(26628) vdb-entry
cve.org

访问

GLSA-200607-04 vendor-advisory
cve.org

访问

20435 third-party-advisory
cve.org

访问

18092 vdb-entry
cve.org

访问

20503 third-party-advisory
cve.org

访问

20451 third-party-advisory
cve.org

访问

21001 third-party-advisory
cve.org

访问

无标题 x_refsource_CONFIRM
cve.org

访问

20231 third-party-advisory
cve.org

访问

20653 third-party-advisory
cve.org

访问

SUSE-SA:2006:030 vendor-advisory
cve.org

访问

21749 third-party-advisory
cve.org

访问

25731 vdb-entry
cve.org

访问

20782 third-party-advisory
cve.org

访问

RHSA-2006:0526 vendor-advisory
cve.org

访问

2006-0032 vendor-advisory
cve.org

访问

20060602-01-U vendor-advisory
cve.org

访问

ADV-2006-1941 vdb-entry
cve.org

访问

20060524 rPSA-2006-0080-1 postgresql postgresql-server mailing-list
cve.org

访问

20232 third-party-advisory
cve.org

访问

20060523 PostgreSQL security releases 8.1.4, 8.0.8, 7.4.13, 7.3.15 mailing-list
cve.org

访问

USN-288-1 vendor-advisory
cve.org

访问

MDKSA-2006:098 vendor-advisory
cve.org

访问

SUSE-SR:2006:021 vendor-advisory
cve.org

访问

无标题 x_refsource_CONFIRM
cve.org

访问

postgresql-multibyte-sql-injection(26627) vdb-entry
cve.org

访问

oval:org.mitre.oval:def:9947 vdb-entry
cve.org

访问

20555 third-party-advisory
cve.org

访问

[pgsql-announce] 20060523 Security Releases for All Active Versions mailing-list
cve.org

访问

1016142 vdb-entry
cve.org

访问

USN-288-3 vendor-advisory
cve.org

访问

USN-288-2 vendor-advisory
cve.org

访问

20314 third-party-advisory
cve.org

访问

DSA-1087 vendor-advisory
cve.org

访问

CVSS评分详情

7.5

HIGH

CVSS向量: AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS版本: 2.0

机密性

PARTIAL

完整性

PARTIAL

可用性

PARTIAL

时间信息

发布时间:

2006-05-24 10:00:00

修改时间:

2024-08-07 17:43:29

创建时间:

2025-11-11 15:32:34

更新时间:

2025-11-11 15:49:07

利用信息

暂无可利用代码信息

数据源详情

数据源	记录ID	版本	提取时间
CVE	`cve_CVE-2006-2314`	2025-11-11 15:17:41	2025-11-11 07:32:34
NVD	`nvd_CVE-2006-2314`	2025-11-11 14:51:49	2025-11-11 07:41:19
CNNVD	`cnnvd_CNNVD-200605-468`	2025-11-11 15:08:51	2025-11-11 07:49:07

版本与语言

当前版本: v3

主要语言: EN

支持语言:

EN ZH

安全公告

暂无安全公告信息

变更历史

v3 CNNVD

2025-11-11 15:49:07

vulnerability_type: 未提取 → SQL注入; cnnvd_id: 未提取 → CNNVD-200605-468; data_sources: ['cve', 'nvd'] → ['cnnvd', 'cve', 'nvd']

查看详细变更

vulnerability_type: 未提取 -> SQL注入
cnnvd_id: 未提取 -> CNNVD-200605-468
data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']

v2 NVD

2025-11-11 15:41:19

severity: SeverityLevel.MEDIUM → SeverityLevel.HIGH; cvss_score: 未提取 → 7.5; cvss_vector: NOT_EXTRACTED → AV:N/AC:L/Au:N/C:P/I:P/A:P; cvss_version: NOT_EXTRACTED → 2.0; affected_products_count: 0 → 40; data_sources: ['cve'] → ['cve', 'nvd']

查看详细变更

severity: SeverityLevel.MEDIUM -> SeverityLevel.HIGH
cvss_score: 未提取 -> 7.5
cvss_vector: NOT_EXTRACTED -> AV:N/AC:L/Au:N/C:P/I:P/A:P
cvss_version: NOT_EXTRACTED -> 2.0
affected_products_count: 0 -> 40
data_sources: ['cve'] -> ['cve', 'nvd']

CVE-2006-2314 (CNNVD-200605-468)

中文标题:

PostgreSQL 多个SQL注入漏洞

英文标题:

PostgreSQL 8.1.x before 8.1.4, 8.0.x before 8.0.8, 7.4.x before 7.4.13, 7.3.x before 7.3.15, and ear...

漏洞描述

中文描述:

英文描述:

CWE类型:

标签:

受影响产品

解决方案

中文解决方案:

英文解决方案:

临时解决方案:

参考链接

CVSS评分详情

时间信息

利用信息

数据源详情

版本与语言

安全公告

变更历史