El equipo JDBC de PostgreSQL ha publicado las versiones 42.7.2, 42.6.1, 42.5.5, 42.4.4, 42.3.9, 42.2.28 y la 42.2.28.jre7 para corregir el problema de seguridad CVE-2024-1597. (Tengan en cuenta que no existe una corrección para la versión 42.2.26.jre6; consulten el aviso de seguridad para conocer posibles soluciones).

La inyección SQL es posible cuando se utiliza la propiedad de conexión no predeterminada preferQueryMode=simple en combinación con un código de aplicación que contenga un SQL vulnerable el cual niegue el valor de un parámetro.

No existe ninguna vulnerabilidad en el controlador al utilizar el modo de consulta por defecto. Los usuarios que no anulen el modo de consulta no se verán afectados.

Para más detalles, vean el aviso de seguridad. Agradecemos a Paul Gerste por detectar y reportar el problema.