CVE-2026-11822
WysokieCVSS 7.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 - wyżej niż 2% wszystkich znanych CVE
Streszczenie
SQLite w wersjach przed 3.53.2 zawiera podatności na uszkodzenie pamięci w rozszerzeniu FTS5, które mogą prowadzić do awarii procesów, wyczerpania pamięci lub wykonania dowolnego kodu. Atakujący mogą wykorzystać źle sformatowane dane strony FTS5 w stworzonym przez siebie bazie danych.
Ocena ryzyka
Podatności te mogą prowadzić do poważnych incydentów bezpieczeństwa, w tym do nieautoryzowanego dostępu do systemów i danych. Organizacje powinny być świadome ryzyka związanego z używaniem podatnych wersji SQLite.
Rekomendacja
Zaleca się aktualizację SQLite do wersji 3.53.2 lub nowszej, aby usunąć te podatności. Dodatkowo, należy monitorować i weryfikować bazy danych pod kątem potencjalnych ataków.
Oryginalny opis (angielski, źródło NVD)
SQLite before 3.53.2 contains memory corruption vulnerabilities in the FTS5 full-text search extension that allow attackers to cause process crashes, memory exhaustion, or arbitrary code execution by supplying a crafted database with malformed FTS5 page data. Attackers can trigger an out-of-bounds read in fts5LeafSeek() via an attacker-controlled loop bound and a heap buffer overflow write in fts5ChunkIterate() through a crafted continuation page causing an integer underflow, exploitable when an FTS5 MATCH query is executed against the malicious database.

