Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2026-3494

Опубликовано: 03 мар. 2026
Источник: nvd
CVSS3: 4.3
EPSS Низкий

Описание

In MariaDB server version through 11.8.5, when server audit plugin is enabled with server_audit_events variable configured with QUERY_DCL, QUERY_DDL, or QUERY_DML filtering, if an authenticated database user invokes a SQL statement prefixed with double-hyphen (—) or hash (#) style comments, the statement is not logged.

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:mariadb:mariadb:*:*:*:*:*:*:*:*
Версия до 10.6.24 (включая)
cpe:2.3:a:mariadb:mariadb:*:*:*:*:*:*:*:*
Версия от 10.7.0 (включая) до 10.11.15 (включая)
cpe:2.3:a:mariadb:mariadb:*:*:*:*:*:*:*:*
Версия от 11.0.0 (включая) до 11.4.9 (включая)
cpe:2.3:a:mariadb:mariadb:*:*:*:*:*:*:*:*
Версия от 11.5.0 (включая) до 11.8.5 (включая)
Конфигурация 2

Одно из

cpe:2.3:a:amazon:aurora_mysql:*:*:*:*:*:*:*:*
Версия до 2.12.5 (включая)
cpe:2.3:a:amazon:aurora_mysql:*:*:*:*:*:*:*:*
Версия от 3.01.0 (включая) до 3.04.5 (включая)
cpe:2.3:a:amazon:aurora_mysql:*:*:*:*:*:*:*:*
Версия от 3.05.1 (включая) до 3.10.2 (включая)
cpe:2.3:a:amazon:aurora_mysql:3.11.0:*:*:*:*:*:*:*
cpe:2.3:a:amazon:relational_database_service:*:*:*:*:*:mysql:*:*
Версия до 5.7.44-rds.20251212 (включая)
cpe:2.3:a:amazon:relational_database_service:*:*:*:*:*:mariadb:*:*
Версия до 10.6.24 (включая)
cpe:2.3:a:amazon:relational_database_service:*:*:*:*:*:mysql:*:*
Версия от 8.0.11 (включая) до 8.0.44 (включая)
cpe:2.3:a:amazon:relational_database_service:*:*:*:*:*:mysql:*:*
Версия от 8.4.3 (включая) до 8.4.7 (включая)
cpe:2.3:a:amazon:relational_database_service:*:*:*:*:*:mariadb:*:*
Версия от 10.11.4 (включая) до 10.11.15 (включая)
cpe:2.3:a:amazon:relational_database_service:*:*:*:*:*:mariadb:*:*
Версия от 11.4.3 (включая) до 11.4.9 (включая)
cpe:2.3:a:amazon:relational_database_service:*:*:*:*:*:mariadb:*:*
Версия от 11.8.3 (включая) до 11.8.5 (включая)

EPSS

Процентиль: 2%
0.00013
Низкий

4.3 Medium

CVSS3

Дефекты

CWE-778
NVD-CWE-noinfo

Связанные уязвимости

redhat логотип

CVE-2026-3494

CVSS3: 4.3
redhat
23 дня назад

In MariaDB server version through 11.8.5, when server audit plugin is enabled with server_audit_events variable configured with QUERY_DCL, QUERY_DDL, or QUERY_DML filtering, if an authenticated database user invokes a SQL statement prefixed with double-hyphen (—) or hash (#) style comments, the statement is not logged.

msrc логотип

CVE-2026-3494

CVSS3: 4.3
msrc
20 дней назад

MariaDB Server Audit Plugin Comment Handling Bypass

github логотип

GHSA-qmjm-438j-w485

CVSS3: 4.3
github
23 дня назад

In MariaDB server version through 11.8.5, when server audit plugin is enabled with server_audit_events variable configured with QUERY_DCL, QUERY_DDL, or QUERY_DML filtering, if an authenticated database user invokes a SQL statement prefixed with double-hyphen (—) or hash (#) style comments, the statement is not logged.

EPSS

Процентиль: 2%
0.00013
Низкий

4.3 Medium

CVSS3

Дефекты

CWE-778
NVD-CWE-noinfo