SA SQLite DBMS (CVE-2019-5018), nga nagtugot kanimo sa pag-execute sa imong code sa sistema kung posible nga ipatuman ang usa ka SQL nga pangutana nga giandam sa usa ka tig-atake. Ang problema tungod sa usa ka sayup sa pagpatuman sa mga function sa bintana ug makita sugod sa sanga . Pagkahuyang sa Abril nga isyu nga walay klaro nga paghisgot sa pag-ayo sa mga isyu sa seguridad.
Ang usa ka espesyal nga gihimo nga SQL SELECT nga pangutana mahimong moresulta sa usa ka gamit-human-libre nga pag-access sa memorya, nga mahimo’g magamit aron makahimo usa ka pagpahimulos aron mapatuman ang code sa konteksto sa usa ka aplikasyon gamit ang SQLite. Ang pagkahuyang mahimong mapahimuslan kung ang aplikasyon nagtugot sa mga konstruksyon sa SQL nga gikan sa gawas nga ipasa sa SQLite.
Pananglitan, ang usa ka pag-atake mahimo’g mahimo sa browser sa Chrome ug mga aplikasyon gamit ang makina sa Chromium, tungod kay ang WebSQL API gipatuman sa ibabaw sa SQLite ug gi-access kini nga DBMS aron maproseso ang mga pangutana sa SQL gikan sa mga aplikasyon sa web. Sa pag-atake, igo na ang paghimo og usa ka panid nga adunay malisyosong JavaScript code ug pugson ang tiggamit sa pag-abli niini sa usa ka browser nga gibase sa Chromium engine.
Source: opennet.ru