PT-2022-7564 · Unknown+12 · Pdo Sqlite+12
Cmb
·
Publicado
2022-10-29
·
Atualizado
2025-08-11
·
CVE-2022-31631
CVSS v3.1
9.1
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do PHP 8.0.* a 8.0.26
Versões do PHP 8.1.* a 8.1.14
Versões do PHP 8.2.* a 8.2.1
Descrição
O problema ocorre devido a um estouro de inteiro não detectado na função
PDO::quote() do PDO SQLite, que pode retornar uma string com citação incorreta quando chamada em entradas fornecidas pelo usuário sem restrições de comprimento. Isso pode levar a vulnerabilidades de injeção de SQL, permitindo que invasores injetem código malicioso e potencialmente obtenham controle. A vulnerabilidade afeta várias versões do PHP e representa um risco significativo para sites e aplicativos que dependem da extensão PHP Data Objects (PDO) para interações com bancos de dados SQLite.Recomendações
Atualize para a versão 8.0.27 ou posterior do PHP para corrigir o problema do PDO/SQLite.
Atualize para a versão 8.1.15 ou posterior do PHP para corrigir o problema do PDO/SQLite.
Atualize para a versão 8.2.2 ou posterior do PHP para corrigir o problema do PDO/SQLite.
Como solução temporária, considere restringir o uso da função
PDO::quote() até que um patch esteja disponível.Evite usar a função
PDO::quote() com entradas fornecidas pelo usuário sem restrições de comprimento adequadas em vigor.Exploit
Correção
Special Elements Injection
Integer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Pdo
Pdo Sqlite
Php
Red Hat
Rocky Linux
Sqlite
Suse
Ubuntu