Специалист по информационной безопасности Адреас Келлас обнаружил и подробно описал брешь в защите SQLite. Уязвимость с идентификатором CVE-2022-35737 получила оценку 7.5 из 10 по шкале CVSS. «Дыра» в защите связана с переполнением целочисленного значения и затрагивает SQLite версий с 1.0.12 по 3.39.1.
В описании CVE-2022-35737 содержится информация, что SQLite иногда может допускать переполнение границ массива, если миллиарды байт используются в строковом аргументе для C API. Благодаря этому хакер может выполнить произвольный код на пораженной системе или совершить DoS-атаку.
Келлас отметил, что описанную им уязвимость можно использовать только на 64-битных системах, поэтому 22 года назад эта проблема казалась несерьезной – почти все системы в то время были 32-битными.
Источник: Blog Trailofbits
