Vulnerabilidad en Sqlite3 3.26.0 (CVE-2019-5018)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
10/05/2019
Última modificación:
13/06/2022
Descripción
Existe una vulnerabilidad de uso de memoria previamente liberada en la función de ventana de Sqlite3 3.26.0. Un comando SQL especialmente diseñado puede causar un uso de memoria previamente liberada, resultando en la ejecución remota del código. Un atacante puede enviar un comando SQL malicioso para activar esta vulnerabilidad.
Impacto
Puntuación base 3.x
8.10
Gravedad 3.x
ALTA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:sqlite:sqlite:3.26.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:12.04:*:*:*:-:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:16.04:*:*:*:esm:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:18.04:*:*:*:lts:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:19.04:*:*:*:*:*:*:* | ||
| cpe:2.3:o:canonical:ubuntu_linux:19.10:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/152809/Sqlite3-Window-Function-Remote-Code-Execution.html
- http://www.securityfocus.com/bid/108294
- https://security.gentoo.org/glsa/201908-09
- https://security.netapp.com/advisory/ntap-20190521-0001/
- https://talosintelligence.com/vulnerability_reports/TALOS-2019-0777
- https://usn.ubuntu.com/4205-1/