PT-2022-6929 · Sqlite+8 · Sqlite+8

Drh

·

Publicado

2020-02-23

·

Atualizado

2025-09-17

·

CVE-2020-35527

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
SQLite versão 3.31.1
Descrição
O problema é causado por um acesso fora dos limites por meio da instrução ALTER TABLE em visualizações que possuem uma cláusula FROM aninhada. Isso pode ser explorado por um invasor remoto para executar código arbitrário. O problema também é descrito como um estouro de buffer no sistema de gerenciamento de banco de dados.
Recomendações
Para a versão 3.31.1 do SQLite, considere restringir o acesso à instrução ALTER TABLE para visualizações com cláusulas FROM aninhadas até que um patch esteja disponível. Como solução temporária, evite usar a instrução ALTER TABLE em visualizações que possuam uma cláusula FROM aninhada para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Improper Resource Release

Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-404CWE-119

Identificadores relacionados

ALSA-2022:7108
ALT-PU-2020-2004
BDU:2023-05664
BDU:2023-05665
BIT-SQLITE-2020-35527
CESA-2022_7108
CVE-2020-35527
DLA-3107-1
RHSA-2022:7108
RHSA-2022_7108
RLSA-2022:7108
USN-5615-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Rocky Linux
Sqlite
Ubuntu