Katalog CVE

CVE-2026-11822

WysokieCVSS 7.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.01%

Percentyl 2 - wyżej niż 2% wszystkich znanych CVE

Streszczenie

SQLite w wersjach przed 3.53.2 zawiera podatności na uszkodzenie pamięci w rozszerzeniu FTS5, które mogą prowadzić do awarii procesów, wyczerpania pamięci lub wykonania dowolnego kodu. Atakujący mogą wykorzystać źle sformatowane dane strony FTS5 w stworzonym przez siebie bazie danych.

Ocena ryzyka

Podatności te mogą prowadzić do poważnych incydentów bezpieczeństwa, w tym do nieautoryzowanego dostępu do systemów i danych. Organizacje powinny być świadome ryzyka związanego z używaniem podatnych wersji SQLite.

Rekomendacja

Zaleca się aktualizację SQLite do wersji 3.53.2 lub nowszej, aby usunąć te podatności. Dodatkowo, należy monitorować i weryfikować bazy danych pod kątem potencjalnych ataków.

Oryginalny opis (angielski, źródło NVD)

SQLite before 3.53.2 contains memory corruption vulnerabilities in the FTS5 full-text search extension that allow attackers to cause process crashes, memory exhaustion, or arbitrary code execution by supplying a crafted database with malformed FTS5 page data. Attackers can trigger an out-of-bounds read in fts5LeafSeek() via an attacker-controlled loop bound and a heap buffer overflow write in fts5ChunkIterate() through a crafted continuation page causing an integer underflow, exploitable when an FTS5 MATCH query is executed against the malicious database.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS