NAN SQLite DBMS (CVE-2019-5018), ki pèmèt ou egzekite kòd ou sou sistèm nan si li posib pou egzekite yon rechèch SQL prepare pa yon atakè. Pwoblèm nan ki te koze pa yon erè nan aplikasyon an nan fonksyon fenèt ak parèt kòmanse nan branch lan . Vilnerabilite nan nimewo avril la ki pa gen okenn mansyone eksplisit nan fikse pwoblèm sekirite.
Yon rekèt SQL SELECT ki fèt espesyalman ka lakòz yon aksè memwa itilize apre-gratis, ki kapab potansyèlman itilize pou kreye yon eksplwa pou egzekite kòd nan kontèks yon aplikasyon lè l sèvi avèk SQLite. Kapab eksplwate vilnerabilite a si aplikasyon an pèmèt konstriksyon SQL ki soti deyò yo pase nan SQLite.
Pou egzanp, yon atak ta ka potansyèlman fèt sou navigatè a Chrome ak aplikasyon lè l sèvi avèk motè a Chromium, depi WebSQL API a aplike sou tèt SQLite ak aksè DBMS sa a pou trete demann SQL nan aplikasyon entènèt. Pou atake, li ase pou kreye yon paj ki gen kòd JavaScript move epi fòse itilizatè a louvri li nan yon navigatè ki baze sou motè Chromium la.
Sous: opennet.ru