KATIKA SQLite DBMS (CVE-2019-5018), ambayo hukuruhusu kutekeleza msimbo wako kwenye mfumo ikiwa inawezekana kutekeleza hoja ya SQL iliyotayarishwa na mshambulizi. Tatizo linasababishwa na hitilafu katika utekelezaji wa kazi za dirisha na inaonekana kuanzia tawi . Udhaifu katika toleo la Aprili bila kutaja wazi juu ya kurekebisha maswala ya usalama.
Hoja iliyoundwa mahususi ya SQL SELECT inaweza kusababisha ufikiaji wa kumbukumbu ya matumizi baada ya bila malipo, ambayo inaweza kutumika kuunda matumizi ya kutekeleza msimbo katika muktadha wa programu kutumia SQLite. Athari hii inaweza kutumika ikiwa programu itaruhusu miundo ya SQL inayotoka nje kupitishwa kwenye SQLite.
Kwa mfano, shambulio linaweza kutekelezwa kwenye kivinjari cha Chrome na programu zinazotumia injini ya Chromium, kwa kuwa API ya WebSQL inatekelezwa juu ya SQLite na kufikia DBMS hii kuchakata hoja za SQL kutoka kwa programu za wavuti. Ili kushambulia, inatosha kuunda ukurasa na msimbo mbaya wa JavaScript na kumlazimisha mtumiaji kuifungua kwenye kivinjari kulingana na injini ya Chromium.
Chanzo: opennet.ru