SQLite DBVS (CVE-2019-5018), kas ļauj izpildīt savu kodu sistēmā, ja ir iespējams izpildīt uzbrucēja sagatavotu SQL vaicājumu. Problēmu izraisa kļūda loga funkciju ieviešanā, un tā parādās, sākot no filiāles . Neaizsargātība aprīļa numurā bez skaidras pieminēšanas par drošības problēmu novēršanu.
Speciāli izstrādāts SQL SELECT vaicājums var izraisīt piekļuvi atmiņai pēc izmantošanas, ko potenciāli varētu izmantot, lai izveidotu ekspluatāciju koda izpildei lietojumprogrammas kontekstā, izmantojot SQLite. Ievainojamību var izmantot, ja lietojumprogramma ļauj SQL konstrukcijas, kas nāk no ārpuses, nodot SQLite.
Piemēram, iespējams, var tikt veikts uzbrukums pārlūkprogrammai Chrome un lietojumprogrammām, kas izmanto Chromium dzinēju, jo WebSQL API ir ieviesta virs SQLite un piekļūst šai DBVS, lai apstrādātu SQL vaicājumus no tīmekļa lietojumprogrammām. Lai uzbruktu, pietiek izveidot lapu ar ļaunprātīgu JavaScript kodu un piespiest lietotāju to atvērt pārlūkprogrammā, kuras pamatā ir Chromium dzinējs.
Avots: opennet.ru