ING SQLite DBMS (CVE-2019-5018), sing ngidini sampeyan nglakokake kode ing sistem yen bisa nglakokake query SQL sing disiapake dening panyerang. Masalah kasebut disebabake kesalahan ing implementasine fungsi jendhela lan katon wiwit saka cabang . Kerentanan ing edisi April kanthi ora nyebutake kanthi jelas babagan ndandani masalah keamanan.
Pitakonan SQL SELECT sing digawe khusus bisa nyebabake akses memori tanpa guna, sing bisa digunakake kanggo nggawe eksploitasi kanggo nglakokake kode ing konteks aplikasi nggunakake SQLite. Kerentanan kasebut bisa dimanfaatake yen aplikasi ngidini konstruksi SQL sing teka saka njaba bisa dilewati menyang SQLite.
Contone, serangan bisa uga ditindakake ing browser Chrome lan aplikasi nggunakake mesin Chromium, amarga API WebSQL dileksanakake ing ndhuwur SQLite lan ngakses DBMS iki kanggo ngolah pitakon SQL saka aplikasi web. Kanggo nyerang, cukup nggawe kaca kanthi kode JavaScript sing ala lan meksa pangguna mbukak ing browser adhedhasar mesin Chromium.
Source: opennet.ru