1.漏洞描述 pgjdbc 是一个开源的 postgresql JDBC 驱动程序。在受影响的版本中，如果输入流大于 2k，则使用 PreparedStatement.setText（int， InputStream） 或 PreparedStatemet.setBytea（int， InputStream） 的预处理语句将创建一个临时文件。这将创建一个临时文件，在类似Unix的系统上，其他用户可以读取该文件，但不能由MacOS读取。在类 Unix 系统上，系统的临时目录在该系统上的所有用户之间共享。因此，当文件和目录写入此目录时，默认情况下，同一系统上的其他用户可读取它们。此漏洞不允许其他用户覆盖这些目录或文件的内容。这纯粹是一个信息泄露漏洞。由于某些 JDK 文件系统 API 仅在 JDK 1.7 中添加，因此此修复取决于您使用的 JDK 版本。Java 1.7 及更高版本用户:此漏洞已在 4.5.0 中修复。Java 1.6 及更低版本的用户:没有可用的修补程序。如果无法修补，或者无法在 Java 1.6 上运行，那么将 java.io.tmpdir 系统环境变量指定为执行用户独占拥有的目录将缓解此漏洞。 2.影响产品(系统版本 是否受影响) 银河麒麟高级服务器操作系统 V10 SP3 2403 不影响 银河麒麟高级服务器操作系统 V11 不影响 3.漏洞评分( 漏洞编号 危害程度 CVSS 3.1 评分 漏洞类型) CVE-2022-41946 中等 5.5 其他 漏洞评分向量：CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 4.修复方案 无需修复