SQLite DBMS-ում (CVE-2019-5018), որը թույլ է տալիս կատարել ձեր կոդը համակարգում, եթե հնարավոր է կատարել հարձակվողի կողմից պատրաստված SQL հարցումը: Խնդիրն առաջանում է պատուհանի գործառույթների իրականացման սխալի պատճառով և հայտնվում է ճյուղից սկսած . Խոցելիություն ապրիլյան համարում առանց անվտանգության խնդիրների շտկման հստակ հիշատակման:
Հատուկ մշակված SQL SELECT հարցումը կարող է հանգեցնել օգտագործման ազատ հիշողության հասանելիության, որը հնարավոր է օգտագործվի SQLite-ի օգտագործմամբ հավելվածի համատեքստում կոդ գործարկելու համար շահագործման համար: Խոցելիությունը կարող է շահագործվել, եթե հավելվածը թույլ է տալիս դրսից եկող SQL կոնստրուկցիաները փոխանցել SQLite:
Օրինակ՝ հնարավոր է հարձակում իրականացվի Chrome բրաուզերի և հավելվածների վրա՝ օգտագործելով Chromium շարժիչը, քանի որ WebSQL API-ն ներդրված է SQLite-ի վերևում և մուտք է գործում այս DBMS՝ վեբ հավելվածներից SQL հարցումները մշակելու համար: Հարձակման համար բավական է ստեղծել JavaScript-ի վնասակար կոդով էջ և ստիպել օգտատիրոջը բացել այն Chromium շարժիչի վրա հիմնված բրաուզերում։
Source: opennet.ru