V SQLite DBMS (CVE-2019-5018), který vám umožní spustit váš kód v systému, pokud je možné provést SQL dotaz připravený útočníkem. Problém je způsoben chybou v implementaci funkcí okna a objevuje se od větve . Zranitelnost v dubnovém čísle bez explicitní zmínky o opravě bezpečnostních problémů.
Speciálně vytvořený dotaz SQL SELECT může mít za následek přístup k paměti bez použití po uvolnění, který by mohl být potenciálně použit k vytvoření exploitu ke spuštění kódu v kontextu aplikace používající SQLite. Tuto chybu zabezpečení lze zneužít, pokud aplikace umožňuje předávání konstrukcí SQL přicházejících zvenčí do SQLite.
Například by mohl být potenciálně proveden útok na prohlížeč Chrome a aplikace využívající engine Chromium, protože rozhraní WebSQL API je implementováno nad SQLite a přistupuje k tomuto DBMS za účelem zpracování SQL dotazů z webových aplikací. K útoku stačí vytvořit stránku se škodlivým kódem JavaScript a donutit uživatele otevřít ji v prohlížeči založeném na enginu Chromium.
Zdroj: opennet.ru