IN SQLite DBMS (CVE-2019-5018), ал чабуулчу тарабынан даярдалган SQL сурамын аткаруу мүмкүн болсо, системада кодуңузду аткарууга мүмкүндүк берет. Көйгөй терезе функцияларын ишке ашыруудагы катадан келип чыгат жана бутактан баштап пайда болот . Аялуу апрель санында коопсуздук маселелерин чечүү жөнүндө эч кандай ачык сөз жок.
Атайын иштелип чыккан SQL SELECT суроосу SQLite аркылуу колдонмонун контекстинде кодду аткаруу үчүн эксплойт түзүү үчүн колдонулушу мүмкүн болгон эстутумга кирүү мүмкүнчүлүгүнө алып келиши мүмкүн. Колдонмо сырттан келген SQL конструкцияларын SQLiteге өткөрүүгө мүмкүндүк берсе, алсыздык пайдаланылышы мүмкүн.
Мисалы, чабуул Chrome серепчисине жана Chromium кыймылдаткычын колдонгон тиркемелерге жүргүзүлүшү мүмкүн, анткени WebSQL API SQLite үстүнө ишке ашырылган жана веб тиркемелеринен SQL сурамдарын иштеп чыгуу үчүн бул СБДБге жетет. Чабуул кылуу үчүн зыяндуу JavaScript коду бар баракты түзүү жана колдонуучуну аны Chromium кыймылдаткычынын негизиндеги браузерде ачууга мажбурлоо жетиштүү.
Source: opennet.ru