NË SQLite DBMS (CVE-2019-5018), i cili ju lejon të ekzekutoni kodin tuaj në sistem nëse është e mundur të ekzekutoni një pyetje SQL të përgatitur nga një sulmues. Problemi është shkaktuar nga një gabim në zbatimin e funksioneve të dritares dhe shfaqet duke filluar nga dega . Cenueshmëria në numrin e prillit pa përmendje të qartë të rregullimit të çështjeve të sigurisë.
Një pyetje SQL SELECT e krijuar posaçërisht mund të rezultojë në një akses memorie pa përdorim, i cili mund të përdoret potencialisht për të krijuar një shfrytëzim për të ekzekutuar kodin në kontekstin e një aplikacioni duke përdorur SQLite. Dobësia mund të shfrytëzohet nëse aplikacioni lejon që konstruktet SQL që vijnë nga jashtë të kalojnë në SQLite.
Për shembull, një sulm mund të kryhet në shfletuesin Chrome dhe aplikacionet duke përdorur motorin Chromium, pasi WebSQL API zbatohet në krye të SQLite dhe akseson këtë DBMS për të përpunuar pyetjet SQL nga aplikacionet në internet. Për të sulmuar, mjafton të krijoni një faqe me kod keqdashës JavaScript dhe ta detyroni përdoruesin ta hapë atë në një shfletues të bazuar në motorin Chromium.
Burimi: opennet.ru