近日，我司监测到PostgreSQL 发布安全公告，PostgreSQL JDBC Driver在版本小于42.2.26和版本大于42.3.0小于42.4.1之间存在一个SQL注入漏洞，漏洞原因是由于java.sql.ResultRow.refreshRow()方法的PGJDBC实现没有执行列名的转义，因此如果列名包含语句终止符的恶意列名，例如";"，可能导致 SQL 注入。

PostgreSQL 是一个功能强大的开源对象关系数据库系统，经过 30 多年的积极开发，在可靠性、功能稳健性和性能方面赢得了良好的声誉。

影响版本:

• PostgreSQL JDBC Driver < 42.2.26
• 42.3.0 <= PostgreSQL JDBC Driver < 42.4.1

安全版本:

• PostgreSQL JDBC Driver = 42.2.26
• PostgreSQL JDBC Driver = 42.4.1

修复建议：

官方已发布补丁修复漏洞，请及时下载更新,下载地址:

https://jdbc.postgresql.org/download.html