https://blog.qife122.com/tags/ashpostgres/ Recent content in AshPostgres on 办公AI智能小助手 Hugo zh-cn qife Tue, 13 Jan 2026 12:15:21 +0800 https://blog.qife122.com/p/ashpostgres-%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Tue, 13 Jan 2026 12:15:21 +0800 https://blog.qife122.com/p/ashpostgres-%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h3 id="cve-2024-49756ashpostgres-空原子非批量操作策略绕过漏洞">CVE-2024-49756：AshPostgres 空原子非批量操作策略绕过漏洞</h3> <h4 id="漏洞概述">漏洞概述</h4> <p>在 AshPostgres 中，存在一个与空、原子、非批量操作相关的策略绕过漏洞，该漏洞可能导致副作用被意外执行。</p> <p><strong>严重程度</strong>：中等 <strong>GitHub 状态</strong>：已审核 <strong>发布时间</strong>：2024年10月23日 <strong>更新日期</strong>：2025年4月14日</p> https://blog.qife122.com/p/ashpostgres-%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Tue, 09 Dec 2025 02:11:55 +0800 https://blog.qife122.com/p/ashpostgres-%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h1 id="cve-2024-49756ashpostgres-中的空原子更新操作策略绕过漏洞">CVE-2024-49756：AshPostgres 中的空原子更新操作策略绕过漏洞</h1> <h2 id="概述">概述</h2> <p>在 <code>AshPostgres</code> 中存在一个漏洞，该漏洞允许在特定情况下绕过更新操作的安全策略，从而执行本应被阻止的副作用（Side-effects）。</p> https://blog.qife122.com/p/ashpostgres-%E9%9D%9E%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E4%B8%8E%E4%BE%A7%E6%95%88%E5%BA%94%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ Mon, 08 Dec 2025 06:43:35 +0800 https://blog.qife122.com/p/ashpostgres-%E9%9D%9E%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E4%B8%8E%E4%BE%A7%E6%95%88%E5%BA%94%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90/ <h2 id="漏洞概述">漏洞概述</h2> <p>CVE-2024-49756 是一个影响 AshPostgres 库的中等严重性安全漏洞。该漏洞存在于 AshPostgres 2.0.0 至 2.4.9 版本中，可能导致在特定配置下，更新操作的授权策略被意外绕过，从而允许未经授权的侧效应（side-effects）执行。</p> https://blog.qife122.com/p/ashpostgres-%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E4%B8%AD%E7%9A%84%E5%89%AF%E4%BD%9C%E7%94%A8%E9%A3%8E%E9%99%A9/ Wed, 03 Dec 2025 10:20:29 +0800 https://blog.qife122.com/p/ashpostgres-%E7%AD%96%E7%95%A5%E7%BB%95%E8%BF%87%E6%BC%8F%E6%B4%9E%E6%B7%B1%E5%BA%A6%E8%A7%A3%E6%9E%90%E7%A9%BA%E6%9B%B4%E6%96%B0%E6%93%8D%E4%BD%9C%E4%B8%AD%E7%9A%84%E5%89%AF%E4%BD%9C%E7%94%A8%E9%A3%8E%E9%99%A9/ <h1 id="ashpostgres-空原子非批量操作中的策略绕过漏洞-cve-2024-49756">AshPostgres 空原子非批量操作中的策略绕过漏洞 (CVE-2024-49756)</h1> <h2 id="漏洞概述">漏洞概述</h2> <p>此漏洞存在于 AshPostgres 中，涉及在特定情况下可能跳过更新操作的策略检查。这仅发生在“空”更新操作（没有更改任何字段）中，并会允许其钩子（副作用）在不应该执行时被执行。需要注意的是，这<strong>不会</strong>允许读取用户不应有权访问的新数据，<strong>只会</strong>触发用户本不应能够触发的副作用。</p>