Lỗ hổng thực thi mã từ xa ảnh hưởng đến SQLite

16/06/2015
83
672 bài viết
Lỗ hổng thực thi mã từ xa ảnh hưởng đến SQLite
SQLite tồn tại lỗ hổng use-after-free có thể bị hacker khai thác để thực thi mã từ xa trên máy tồn tại lỗ hổng.

Lỗ hổng này, CVE-2019-5018, điểm CVSS 8.1, nằm trong tính năng window function (hàm tổng hợp) của Sqlite3 3.26.0 và 3.27.0. Để kích hoạt lỗ hổng, kẻ tấn công cần gửi lệnh SQL tự tạo đặc biệt cho nạn nhân, từ đó có thể cho phép thực thi mã từ xa.

SQLite.jpg

Thư viện SQLite là một hệ thống quản lý cơ sở dữ liệu phía máy khách được sử dụng rộng rãi trong các thiết bị di động, trình duyệt, thiết bị phần cứng và ứng dụng người dùng.

SQLite triển khai tính năng Window Functions của SQL, cho phép truy vấn trên một tập con (hoặc một cửa sổ window) của hàng, và lỗ hổng mới tiết lộ được tìm thấy trong hàm “window”.

Lỗ hổng đã được vá trước khi thông tin được công bố công khai.

Theo Security Week
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bên trên