በ SQLite DBMS ውስጥ (CVE-2019-5018)፣ ይህም በአጥቂ የተዘጋጀውን የSQL መጠይቅ መፈፀም ከተቻለ ኮድዎን በሲስተሙ ላይ እንዲፈጽሙ ያስችልዎታል። ችግሩ የተፈጠረው የዊንዶው ተግባራትን በመተግበር ላይ ባለ ስህተት ሲሆን ከቅርንጫፉ ጀምሮ ይታያል . ተጋላጭነት በሚያዝያ ወር እትም የደህንነት ጉዳዮችን ስለማስተካከሉ በግልፅ ሳይጠቅስ።
በልዩ ሁኔታ የተሰራ የSQL SELECT መጠይቅ ከጥቅም ውጪ የሆነ የማህደረ ትውስታ መዳረሻን ሊያስከትል ይችላል፣ ይህም SQLiteን በመጠቀም በመተግበሪያው አውድ ውስጥ ኮድ ለማስፈፀም ብዝበዛ ለመፍጠር ሊያገለግል ይችላል። አፕሊኬሽኑ ከውጭ የሚመጡ የSQL ግንባታዎች ወደ SQLite እንዲተላለፉ ከፈቀደ ተጋላጭነቱን መጠቀም ይቻላል።
ለምሳሌ፣ የWebSQL API በSQLite ላይ ስለሚተገበር እና የSQL ጥያቄዎችን ከድር መተግበሪያዎች ለማስኬድ ይህንን DBMS ስለሚደርስ በChromium ኤንጂን በመጠቀም በChrome አሳሽ እና መተግበሪያዎች ላይ ጥቃት ሊፈጸም ይችላል። ለማጥቃት ተንኮል አዘል የጃቫ ስክሪፕት ኮድ ያለው ገጽ መፍጠር እና ተጠቃሚው በChromium ሞተር ላይ በመመስረት በአሳሽ ውስጥ እንዲከፍት ማስገደድ በቂ ነው።
ምንጭ: opennet.ru