近日,发现SQLite的漏洞细节和POC在互联网公开,漏洞编号为CVE-2022-35737,漏洞等级:高危,漏洞评分:7.5。
SQLite 是部署最广泛的数据库引擎,由C语言编写,默认包含在 Android、iOS、Windows 和 macOS 以及主流的Web 浏览器(如 Google Chrome、Mozilla Firefox 和 Apple Safari)中。
一、漏洞介绍
该漏洞存在于SQLite中,当攻击者向SQLite的某些函数传递大量字符串输入且格式字符串包含%Q、%q或%w格式替换类型时,可能会造成缓冲区溢出,导致拒绝服务或任意代码执行
风险等级:高风险。
二、漏洞影响
影响范围:SQLite版本 >= 1.0.12 , < 3.39.2
三、修复建议
根据影响版本中的信息,排查并升级到安全版本>= 3.39.2。
更新参考:https://sqlite.org/releaselog/3_39_2.html
