یک آسیبپذیری با شدت بالا در کتابخانه پایگاهداده SQLite افشا شده است که در اکتبر 2000 بعنوان بخشی از یک تغییر کد معرفی شد و اکنون میتواند مهاجم را قادر به از کار انداختن یا کنترل برنامهها کند.
در مورد این آسیبپذیری با شدت بالا (7.5 از 10) با شناسه رهگیری CVE-2022-35737 در گزارش فنی که توسط یکی از محققان Trail of Bits منتشر شده، آمده است که این آسیبپذیری در سیستمهای 64 بیتی قابل بهرهبرداری است و این بهرهبرداری به نحوه کامپایل شدن برنامه بستگی دارد.
این نقص 22 ساله بر نسخههای SQLite 1.0.12 تا 3.39.1 تأثیر میگذارد و در نسخه 3.39.2 که در 21 ژوئیه 2022 منتشر شد رفع شده است.
این آسیبپذیری مربوط به یک باگ integer overflow است و زمانی رخ میدهد که ورودیهای رشتهای بسیار بزرگ به عنوان پارامتر به توابع printf ارسال میشوند که آنها از تابع دیگری برای مدیریت قالببندی رشته استفاده میکنند ("sqlite3_str_vappendf").
با استفاده از این آسیبپذیری ممکن است مهاجم به اجرای کد دلخواه دست یابد یا باعث هنگ کردن برنامه به طور نامحدود شود.
در مورد این آسیبپذیری با شدت بالا (7.5 از 10) با شناسه رهگیری CVE-2022-35737 در گزارش فنی که توسط یکی از محققان Trail of Bits منتشر شده، آمده است که این آسیبپذیری در سیستمهای 64 بیتی قابل بهرهبرداری است و این بهرهبرداری به نحوه کامپایل شدن برنامه بستگی دارد.
این نقص 22 ساله بر نسخههای SQLite 1.0.12 تا 3.39.1 تأثیر میگذارد و در نسخه 3.39.2 که در 21 ژوئیه 2022 منتشر شد رفع شده است.
این آسیبپذیری مربوط به یک باگ integer overflow است و زمانی رخ میدهد که ورودیهای رشتهای بسیار بزرگ به عنوان پارامتر به توابع printf ارسال میشوند که آنها از تابع دیگری برای مدیریت قالببندی رشته استفاده میکنند ("sqlite3_str_vappendf").
با استفاده از این آسیبپذیری ممکن است مهاجم به اجرای کد دلخواه دست یابد یا باعث هنگ کردن برنامه به طور نامحدود شود.