NVD报告PostgreSQL JDBC驱动程序存在严重性较高的XXE漏洞(7.7(,请参阅https://nvd.nist.gov/vuln/detail/CVE-2020-13692.这种类型的漏洞与解析XML中的外部实体有关。
不过,我找不到关于如何在PostgreSQL JDBC驱动程序中使用受损的XML文件来利用此漏洞的信息。是应用程序尝试在数据库中存储XML文件时发生的吗?是否有经过解析的XML配置文件在泄露时会导致问题?其他用途?我如何知道易受攻击的部分是否真的在我的应用程序中使用,以及它是否易受攻击?
仅根据CVE文档检查可利用性可能会非常耗时。每次我做这样的事情时,我都会在修复前后阅读源代码,以了解哪里出了问题(或者之前放弃了,因为这似乎很麻烦(。有时你可以在以下网站上搜索漏洞代码https://www.exploit-db.com/或者在metasploit,但通常你不会成功。
我的建议-升级。利用这段时间对应用程序执行测试,以确保升级后一切正常。