ДАР DBMS SQLite (CVE-2019-5018), ки ба шумо имкон медиҳад, ки коди худро дар система иҷро кунед, агар имконпазир бошад, дархости SQL-и аз ҷониби ҳамла омодашуда иҷро карда шавад. Мушкилот дар натиҷаи хато дар иҷрои вазифаҳои равзана ба вуҷуд омадааст ва аз филиал сар карда пайдо мешавад . осебпазирӣ дар шумораи апрели бо зикри возеҳ дар бораи ислоҳи масъалаҳои амниятӣ.
Дархости махсус таҳияшудаи SQL SELECT метавонад ба дастрасии ройгони хотира оварда расонад, ки эҳтимолан онро барои эҷоди истисмор барои иҷро кардани код дар контексти барнома бо истифода аз SQLite истифода бурдан мумкин аст. Агар барнома имкон диҳад, ки конструксияҳои SQL аз берун ба SQLite интиқол дода шаванд, осебпазириро метавон истифода бурд.
Масалан, эҳтимолан ҳамла ба браузери Chrome ва барномаҳо бо истифода аз муҳаррики Chromium анҷом дода мешавад, зеро API WebSQL дар болои SQLite амалӣ карда мешавад ва ба ин DBMS барои коркарди дархостҳои SQL аз барномаҳои веб дастрасӣ пайдо мекунад. Барои ҳамла, эҷод кардани саҳифа бо рамзи зараровар JavaScript ва маҷбур кардани корбар барои кушодани он дар браузер дар асоси муҳаррики Chromium кифоя аст.
Манбаъ: opennet.ru