PT-2021-6913 · Mariadb+5 · Mariadb Server+5

Yaoguang

·

Publicado

2021-11-08

·

Atualizado

2025-06-10

·

CVE-2022-27385

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
MariaDB Server versões 10.7 e anteriores
Descrição
Foi descoberta uma falha no componente Used tables and const cache::used tables and const cache join do MariaDB Server que permite que invasores provoquem uma negação de serviço (DoS) por meio de instruções SQL especialmente criadas. A vulnerabilidade está relacionada à falta de medidas de proteção para a estrutura da consulta SQL, que pode ser explorada por um invasor remoto para causar uma negação de serviço.
Recomendações
Para as versões 10.7 e anteriores do MariaDB Server, considere desativar o componente Used tables and const cache::used tables and const cache join como uma solução temporária até que um patch esteja disponível. Restrinja o acesso à funcionalidade de consulta SQL para minimizar o risco de exploração. Evite usar instruções SQL especialmente criadas no componente afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

DoS

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

ALSA-2022:1556
ALSA-2022:1557
ALT-PU-2022-2360
ALT-PU-2022-2446
ALT-PU-2023-1583
ALT-PU-2023-6462
BDU:2022-02595
BIT-MARIADB-2022-27385
BIT-MARIADB-MIN-2022-27385
BIT-MYSQL-CLIENT-2022-27385
CESA-2022_1556
CESA-2022_1557
CVE-2022-27385
OESA-2022-1681
RHSA-2022:1007
RHSA-2022:1010
RHSA-2022:1556
RHSA-2022:1557
RHSA-2022:4818
RHSA-2022_1556
RHSA-2022_1557
RHSA-2023:6821
RLSA-2022:1556
RLSA-2022:1557
ROSA-SA-2023-2253

Produtos afetados

Alt Linux
Almalinux
Centos
Mariadb Server
Red Hat
Rocky Linux