En DBMS SQLite detectó la vulnerabilidad CVE-2019-5018, que permite la realización de código en el sistema si es posible ejecutar una consulta SQL, preparado por un atacante.
El problema surge de la SQLite 3.26 rama.
“SQLite implementa la función de funciones de la ventana de SQL, lo que permite consultas sobre un subconjunto, o “ventana,”De filas. Esta vulnerabilidad específica radica en que la función “ventana””, — escribe el experto de Cisco Talos cory duplantis.
La SELECCIÓN de solicitud SQL especialmente diseñada puede cambiar a la región de la memoria ya liberada (use-after-free) que potencialmente puede usarse para la creación de exploits para la ejecución de código en el contexto de la aplicación que usa SQLite.
La vulnerabilidad se puede explotar en caso de que la aplicación permita la transición de construcciones SQL recibidas externamente en SQLite.
Por ejemplo, Se puede realizar un ataque potencial a Cromo y aplicaciones que utilizan motor de cromo, como API WebSQL se realiza por encima de SQLite y recurre a este DBMS para el procesamiento de solicitudes SQL de aplicaciones web. Para el ataque es suficiente crear una página web con código JavaScript de malware y hacer que el usuario la abra en el navegador en la base del motor Chromiun.
La vulnerabilidad se corrige en el SQLite 3.28 actualizar sin mencionar explícitamente la corrección de problemas de seguridad.
