Katalog CVE

CVE-2026-3494

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.27%

Percentyl 19 - wyżej niż 19% wszystkich znanych CVE

Streszczenie

W serwerze MariaDB do wersji 11.8.5, gdy wtyczka audytu serwera jest włączona, a zmienna server_audit_events skonfigurowana z filtrowaniem QUERY_DCL, QUERY_DDL lub QUERY_DML, uwierzytelniony użytkownik bazy danych może wywołać instrukcję SQL poprzedzoną komentarzami w stylu podwójnego myślnika (--) lub hasha (#), która nie zostanie zarejestrowana.

Ocena ryzyka

Ryzyko polega na tym, że administratorzy mogą nie mieć pełnego wglądu w działania użytkowników bazy danych, co może prowadzić do niezauważenia nieautoryzowanych lub złośliwych zapytań SQL, naruszając integralność i bezpieczeństwo danych.

Rekomendacja

Zaleca się aktualizację serwera MariaDB do wersji 11.8.6 lub nowszej, która zawiera poprawkę eliminującą to zachowanie, oraz weryfikację konfiguracji wtyczki audytu.

Oryginalny opis (angielski, źródło NVD)

In MariaDB server version through 11.8.5, when server audit plugin is enabled with server_audit_events variable configured with QUERY_DCL, QUERY_DDL, or QUERY_DML filtering, if an authenticated database user invokes a SQL statement prefixed with double-hyphen (—) or hash (#) style comments, the statement is not logged.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS