1.漏洞描述 PostgreSQL中REFRESH MATERIALIZED VIEW CONCURRENTLY中的后期特權(quán)下降允許對象創(chuàng)建者作為命令頒發(fā)者執(zhí)行任意SQL函數(shù)。該命令旨在作為物化視圖的所有者運行SQL函數(shù)，從而能夠安全地刷新不受信任的物化視圖。受害者是超級用戶或攻擊者角色之一的成員。該攻擊需要引誘受害者在攻擊者的實體化視圖上同時運行刷新實體化視圖。作為利用此漏洞的一部分，攻擊者創(chuàng)建的函數(shù)使用CREATE RULE將內(nèi)部構(gòu)建的臨時表轉(zhuǎn)換為視圖。PostgreSQL 15.6、14.11、13.14和12.18之前的版本會受到影響。唯一已知的漏洞在PostgreSQL 16及更高版本中不起作用。為了深度防御，PostgreSQL 16.2添加了舊分支用來修復(fù)其漏洞的保護。 2.影響產(chǎn)品(系統(tǒng)版本 是否受影響) 銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP1 不影響 銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP2 不影響 銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP3 不影響 銀河麒麟高級服務(wù)器操作系統(tǒng)（Host版）V10 不影響 銀河麒麟高級服務(wù)器操作系統(tǒng) V10 SP3 2309b 不影響 3.漏洞評分( 漏洞編號 危害程度 CVSS 3.1 評分 漏洞類型) CVE-2024-0985 重要 8.0 其他 漏洞評分向量：CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 4.修復(fù)方案 無需修復(fù)