Katalog CVE

CVE-2026-44171

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Serwer MariaDB w wersjach od 10.6.1 do przed 10.6.26, 10.11.1 do przed 10.11.17, 11.4.1 do przed 11.4.11, 11.8.1 do przed 11.8.7 oraz 12.3.1 miał problem z brakiem weryfikacji ścieżek zawierających /../ podczas rozpakowywania archiwum. Specjalnie przygotowane archiwum mogło spowodować utworzenie plików poza docelowym katalogiem.

Ocena ryzyka

Ryzyko polega na tym, że złośliwe archiwum może umożliwić atakującemu zapisanie plików w nieautoryzowanych lokalizacjach, co może prowadzić do naruszenia bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację serwera MariaDB do wersji 10.6.26, 10.11.17, 11.4.11, 11.8.7 lub 12.3.2, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

MariaDB server is a community developed fork of MySQL server. From versions 10.6.1 to before 10.6.26, 10.11.1 to before 10.11.17, 11.4.1 to before 11.4.11, 11.8.1 to before 11.8.7, and 12.3.1, mbstream did not check for /../ in the path when unpacking the archive. A proper backup can never contain such paths, but a specially crafted archive could have caused mbstream to create files outside of the target-dir path. This issue has been patched in versions 10.6.26, 10.11.17, 11.4.11, 11.8.7, and 12.3.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS