Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2024-08763

Опубликовано: 26 фев. 2024
Источник: fstec
CVSS3: 5.7
CVSS2: 6.1
EPSS Средний

Описание

Уязвимость библиотеки lib_mysqludf_sys.so системы управления базами данных MariaDB связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю повысить свои привилегии и выполнить произвольный код

Вендор

MariaDB Foundation

Наименование ПО

MariaDB

Версия ПО

11.1 (MariaDB)

Тип ПО

СУБД

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,1)
Средний уровень опасности (базовая оценка CVSS 3.0 составляет 5,7)

Возможные меры по устранению уязвимости

Компенсирующие меры:
- ограничение прав пользователей, только администраторы базы данных должны иметь возможность добавлять или изменять пользовательские функции, роли пользователей должны исключать возможности добавления или вызова UDF без необходимости.
;
- отключение поддержки пользовательских функций, удалив каталог плагинов из конфигурации MariaDB или наложив ограничения на использование UDF;
- ограничить предоставление привилегий SUPER и FILE обычным пользователям, так как они требуются для создания и использования пользовательских функций;
- запрет использования системных команд внутри UDF;
- ограничение доступа к каталогу плагинов MariaDB (определяемого переменной @@plugin_dir).

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 94%
0.12494
Средний

5.7 Medium

CVSS3

6.1 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2024-27766

CVSS3: 5.7
ubuntu
8 месяцев назад

An issue in MariaDB v.11.1 allows a remote attacker to execute arbitrary code via the lib_mysqludf_sys.so function. NOTE: this is disputed by the MariaDB Foundation because no privilege boundary is crossed.

redhat логотип

CVE-2024-27766

CVSS3: 5.5
redhat
8 месяцев назад

An issue in MariaDB v.11.1 allows a remote attacker to execute arbitrary code via the lib_mysqludf_sys.so function. NOTE: this is disputed by the MariaDB Foundation because no privilege boundary is crossed.

nvd логотип

CVE-2024-27766

CVSS3: 5.7
nvd
8 месяцев назад

An issue in MariaDB v.11.1 allows a remote attacker to execute arbitrary code via the lib_mysqludf_sys.so function. NOTE: this is disputed by the MariaDB Foundation because no privilege boundary is crossed.

debian логотип

CVE-2024-27766

CVSS3: 5.7
debian
8 месяцев назад

An issue in MariaDB v.11.1 allows a remote attacker to execute arbitra ...

github логотип

GHSA-v9vv-8xcq-rpqg

CVSS3: 5.7
github
8 месяцев назад

An issue in MYSQL MariaDB v.11.1 allows a remote attacker to execute arbitrary code via the lib_mysqludf_sys.so function.

EPSS

Процентиль: 94%
0.12494
Средний

5.7 Medium

CVSS3

6.1 Medium

CVSS2