PT-2022-5232 · Sqlite+12 · Sqlite+12
Andreas Kellas
·
Publicado
2022-07-22
·
Atualizado
2026-02-23
·
CVE-2022-35737
CVSS v2.0
10
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do SQLite de 1.0.12 a 3.39.x, anteriores à 3.39.2
Descrição
O problema está relacionado a um estouro de limites de matriz na biblioteca da API do SQLite, que pode ser acionado por um invasor remoto usando uma longa sequência de dados de string processados pela função
printf com uma string de formato contendo os tipos %Q, %q ou %w. Isso pode levar a uma negação de serviço ou à execução de código arbitrário. A vulnerabilidade está associada ao uso de bilhões de bytes em um argumento de string para uma API C.Recomendações
Para as versões do SQLite 1.0.12 a 3.39.x anteriores à 3.39.2, atualize para a versão 3.39.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da função
printf com strings de formato contendo os tipos %Q, %q ou %w para minimizar o risco de exploração. Evite usar entradas de string grandes na função printf até que o problema seja resolvido.Exploit
Correção
RCE
Improper Validation of Array Index
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Sqlite
Suse
Ubuntu
Windows