EN DBMS SQLite (CVE-2019-5018), que le permite ejecutar su código en el sistema si es posible ejecutar una consulta SQL preparada por un atacante. El problema se debe a un error en la implementación de las funciones de la ventana y aparece a partir de la rama. . Vulnerabilidad en la edición de abril sin mención explícita de solucionar problemas de seguridad.
Una consulta SQL SELECT especialmente diseñada puede dar como resultado un acceso a la memoria de uso después de la liberación, que podría usarse potencialmente para crear un exploit para ejecutar código en el contexto de una aplicación que usa SQLite. La vulnerabilidad se puede explotar si la aplicación permite que las construcciones SQL provenientes del exterior pasen a SQLite.
Por ejemplo, se podría llevar a cabo un ataque al navegador Chrome y a las aplicaciones que utilizan el motor Chromium, ya que la API WebSQL se implementa sobre SQLite y accede a este DBMS para procesar consultas SQL desde aplicaciones web. Para atacar, basta con crear una página con código JavaScript malicioso y obligar al usuario a abrirla en un navegador basado en el motor Chromium.
Fuente: opennet.ru