漏洞描述. 在最新版本的PostgreSQL上,superuser除C:Program FilesPostgreSQL11libWindows或/var/lib/postgresql/11/lib* nix 上,不再允许从其他任何地方加载共享库文件。此外,NETWORK_SERVICE或postgres帐户均无法写入此路径。 但是,经过身份验证的数据库superuser可以使用“big obj”将二进制文件写入文件系统,并且当然可以写入C:Program FilesPostgreSQL11data目录。对于更新/创建数据库中的表,其原因应该很清楚。 潜在的问题是CREATE…. Source link