PT-2022-6939 · Sqlite+5 · Sqlite+5

Larrybr

·

Publicado

2022-12-12

·

Atualizado

2026-03-20

·

CVE-2022-46908

CVSS v3.1

7.3

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L
Nome do software vulnerável e versões afetadas
Versões do SQLite anteriores à 3.40.0
Descrição
O problema está relacionado a erros na implementação do mecanismo de proteção azAllowedFunctions na interface de linha de comando do sistema de gerenciamento de banco de dados SQLite. Isso poderia permitir que um invasor obtivesse acesso não autorizado a funções de usuário proibidas. Especificamente, ao utilizar a opção --safe para executar scripts de CLI não confiáveis, o mecanismo de proteção azProhibitedFunctions não é implementado corretamente, permitindo o uso de Funções Definidas pelo Usuário (UDFs), como WRITEFILE.
Recomendações
Para versões anteriores à 3.40.0, como solução temporária, considere desativar o uso de UDFs, como WRITEFILE, até que um patch esteja disponível. Restrinja o acesso ao mecanismo azProhibitedFunctions para minimizar o risco de exploração. Evite usar a opção --safe para executar scripts de CLI não confiáveis até que o problema seja resolvido.

Exploit

Correção

Protection Mechanism Failure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-693

Identificadores relacionados

ALT-PU-2023-1001
AZL-11586
BDU:2023-05686
BIT-SQLITE-2022-46908
CVE-2022-46908
MGASA-2023-0094
OESA-2022-2146
OESA-2023-1219
OPENSUSE-SU-2022_4628-1
OPENSUSE-SU-2024:12574-1
ROSA-SA-2023-2266
SUSE-SU-2022:4603-1
SUSE-SU-2022:4628-1
SUSE-SU-2022_4603-1
SUSE-SU-2022_4628-1
SUSE-SU-2023:1295-1
SUSE-SU-2023:2668-1
SUSE-SU-2023_1295-1
SUSE-SU-2023_2668-1
USN-6566-1

Produtos afetados

Alt Linux
Linuxmint
Red Os
Sqlite
Suse
Ubuntu