SQLite DBMS-n (CVE-2019-5018), zure kodea sisteman exekutatzeko aukera ematen duena, erasotzaile batek prestatutako SQL kontsulta bat exekutatzeko posible bada. Arazoa leiho-funtzioen ezarpenean akats batek eragiten du eta adarretik hasita agertzen da . Zaurgarritasuna apirileko zenbakian segurtasun-arazoak konpontzeari esplizituki aipatu gabe.
Bereziki landutako SQL SELECT kontsulta batek erabilera librearen ondoren memoriarako sarbidea eragin dezake, balizko baliagarria izan liteke SQLite erabiltzen duen aplikazio baten testuinguruan kodea exekutatzeko ustiapena sortzeko. Ahultasuna ustiatu daiteke aplikazioak kanpotik datozen SQL eraikuntzak SQLite-ra pasatzen uzten badu.
Adibidez, Chrome arakatzailean eta Chromium motorra erabiltzen duten aplikazioetan eraso bat egin liteke, izan ere, WebSQL APIa SQLite-ren gainean ezartzen baita eta DBMS honetara sartzen baita web aplikazioetako SQL kontsultak prozesatzeko. Erasoa egiteko, nahikoa da JavaScript kode gaiztoa duen orri bat sortzea eta erabiltzailea Chromium motorean oinarritutako arakatzaile batean irekitzera behartzea.
Iturria: opennet.ru