نقص با شدت بالا در PostgreSQL به هکرها اجازه می دهد تا از متغیرهای محیطی سوء استفاده کنند.

🔹محققان امنیت سایبری یک نقص امنیتی با شدت بالا را در سیستم پایگاه داده منبع باز PostgreSQL افشا کرده اند که می تواند به کاربران غیرمجاز اجازه دهد تا متغیرهای محیط را تغییر دهند و به طور بالقوه منجر به اجرای کد یا افشای اطلاعات شود.

🔸این آسیب‌پذیری که با نام CVE-2024-10979 شناخته می‌شود، دارای امتیاز CVSS 8.8 است متغیرهای محیطی مقادیر تعریف شده توسط کاربر هستند که می‌توانند به برنامه اجازه دهند تا به صورت پویا انواع مختلفی از اطلاعات مانند کلیدهای دسترسی و مسیرهای نصب نرم‌افزار را در طول زمان اجرا بدون نیاز به کدگذاری سخت دریافت کند. در سیستم عامل های خاص، آنها در مرحله راه اندازی مقداردهی اولیه می شوند..

🔹 کنترل نادرست متغیرهای محیطی در PostgreSQL PL/Perl به کاربر پایگاه داده غیرمجاز اجازه می دهد تا متغیرهای حساس محیط فرآیند (مانند PATH) را تغییر دهد.