1.漏洞描述 PostgreSQL中REFRESH MATERIALIZED VIEW CONCURRENTLY中的后期特權下降允許對象創建者作為命令頒發者執行任意SQL函數。該命令旨在作為物化視圖的所有者運行SQL函數，從而能夠安全地刷新不受信任的物化視圖。受害者是超級用戶或攻擊者角色之一的成員。該攻擊需要引誘受害者在攻擊者的實體化視圖上同時運行刷新實體化視圖。作為利用此漏洞的一部分，攻擊者創建的函數使用CREATE RULE將內部構建的臨時表轉換為視圖。PostgreSQL 15.6、14.11、13.14和12.18之前的版本會受到影響。唯一已知的漏洞在PostgreSQL 16及更高版本中不起作用。為了深度防御，PostgreSQL 16.2添加了舊分支用來修復其漏洞的保護。 2.影響產品(系統版本 是否受影響) 銀河麒麟高級服務器操作系統 V10 SP1 不影響 銀河麒麟高級服務器操作系統 V10 SP2 不影響 銀河麒麟高級服務器操作系統 V10 SP3 不影響 銀河麒麟高級服務器操作系統（Host版）V10 不影響 銀河麒麟高級服務器操作系統 V10 SP3 2309b 不影響 3.漏洞評分( 漏洞編號 危害程度 CVSS 3.1 評分 漏洞類型) CVE-2024-0985 重要 8.0 其他 漏洞評分向量：CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 4.修復方案 無需修復