El investigador Cory Duplantis, de
Cisco Talos, ha descubierto que SQLite contiene una vulnerabilidad explotable
de tipo uso posterior a liberación de memoria que podría permitir a un atacante
obtener la capacidad de ejecutar código de forma remota en el equipo objetivo,
calificada de .Importancia: 4 - Alta
Recursos
afectados:
SQLite, versiones 3.26.0 y 3.27.0
Recomendación
SQLite, en colaboración con Cisco
Talos, ha publicado una actualización para los clientes afectados, que se puede
obtener desde su página de descargas.
Detalle
de vulnerabilidades
SQLite implementa la característica
Window Functions de SQL, que permite realizar consultas sobre un subconjunto, o
window, de filas. Esta vulnerabilidad específica reside en la función window.
Un comando SQL, especialmente diseñado, podría causar una vulnerabilidad de uso
posterior a liberación de memoria, lo que puede resultar en la ejecución remota
de código. Se ha reservado el identificador CVE-2019-5018 para esta vulnerabilidad.
Más
información
Fuente: INCIBE