Sqlite
Уязвимости
47
Эксплуатируемые
0
Макс. CVSS
8.8
Макс. EPSS
0.39286
Распределение по критичности
Критический
0
Высокий
20
Средний
21
Низкий
4
Также сопоставлено как (исходные строки): sqlite
Топ уязвимостей
CVE-2020-11656В SQLite до версии 3.31.1 реализация ALTER TABLE имеет use-after-free, как продемонстрировано предложением ORDER BY, которое принадлежит составному оператору SELECT.
CVE-2019-5827Переполнение целого числа в SQLite через WebSQL в Google Chrome до версии 74.0.3729.131 позволяло удаленному злоумышленнику потенциально использовать повреждение кучи через специально созданную HTML-страницу.
CVE-2019-13734Запись за границами в SQLite в Google Chrome до версии 79.0.3945.79 позволяла удаленному злоумышленнику потенциально использовать повреждение кучи через специально созданную HTML-страницу.
CVE-2017-7002Проблема обнаружена в определенных продуктах Apple. Это затрагивает iOS до версии 10.3.2. Это затрагивает macOS до версии 10.12.5. Проблема связана с компонентом "SQLite". Это позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение памяти и сбой приложения) через специально созданный веб-сайт.
CVE-2017-7001Проблема обнаружена в определенных продуктах Apple. Это затрагивает iOS до версии 10.3.2. Это затрагивает macOS до версии 10.12.5. Проблема связана с компонентом "SQLite". Это позволяет удаленным злоумышленникам выполнять произвольный код или вызывать отказ в обслуживании (повреждение памяти и сбой приложения) через специально созданный веб-сайт.
CVE-2020-9794Чтение за пределами выделенной памяти было устранено путем улучшения проверки границ. Эта проблема устранена в iOS 13.5 и iPadOS 13.5, macOS Catalina 10.15.5, tvOS 13.4.5, watchOS 6.2.5, iTunes 12.10.7 для Windows, iCloud для Windows 11.2, iCloud для Windows 7.19. Вредоносное приложение может вызвать отказ в обслуживании или потенциально раскрыть содержимое памяти.
CVE-2020-35527В SQLite 3.31.1 существует проблема доступа за пределы границ через ALTER TABLE для представлений, имеющих вложенное предложение FROM.
CVE-2021-0646В sqlite3_str_vappendf of sqlite3.c возможна запись за границы из-за неправильной проверки входных данных. Это может привести к локальной эскалации привилегий, если пользователь также может внедрить printf в SQL привилегированного процесса без каких-либо дополнительных привилегий для выполнения. Для эксплуатации не требуется взаимодействие с пользователем. Продукт: AndroidVersions: Android-9 Android-10 Android-11 Android-8.1Android ID: A-153352319.
CVE-2025-29087Sqlite 3.49.0 уязвим к переполнению целого числа через функцию concat.
CVE-2021-36690Сегментационный сбой может произойти в компоненте командной строки sqlite3.exe SQLite 3.36.0 через функцию idxGetTableInfo при наличии специально созданного SQL-запроса. ПРИМЕЧАНИЕ: поставщик оспаривает актуальность этого отчета, поскольку пользователь sqlite3.exe уже имеет полные привилегии (например, ему намеренно разрешено выполнять команды). Этот отчет НЕ подразумевает каких-либо проблем в библиотеке SQLite.
CVE-2021-31239Проблема обнаружена в SQLite SQLite3 v.3.35.4, которая позволяет удаленному злоумышленнику вызвать отказ в обслуживании через функцию appendvfs.c.
CVE-2020-9991Эта проблема была решена путем улучшения проверок. Эта проблема устранена в macOS Big Sur 11.0.1, watchOS 7.0, iOS 14.0 и iPadOS 14.0, iCloud для Windows 7.21, tvOS 14.0. Удаленный злоумышленник может вызвать отказ в обслуживании.
CVE-2020-35525В SQlite 3.31.1 была обнаружена потенциальная ссылка на нулевой указатель при обработке запросов INTERSEC.
CVE-2020-13871SQLite 3.32.2 имеет use-after-free в resetAccumulator в select.c, потому что переписывание дерева разбора для оконных функций происходит слишком поздно.
CVE-2020-11655SQLite до версии 3.31.1 позволяет злоумышленникам вызвать отказ в обслуживании (ошибку сегментации) с помощью неправильно сформированного запроса window-function, поскольку инициализация объекта AggInfo обрабатывается неправильно.
CVE-2019-19603SQLite 3.30.1 неправильно обрабатывает определенные операторы SELECT с несуществующим VIEW, что приводит к сбою приложения.
CVE-2019-19244sqlite3Select в select.c в SQLite 3.30.1 допускает сбой, если подзапрос использует как DISTINCT, так и оконные функции, а также имеет определенное использование ORDER BY.
CVE-2023-7104В библиотеке SQLite до версии 3.43.0 была обнаружена уязвимость, классифицированная как критическая. Эта проблема затрагивает функцию sessionReadRecord файла ext/session/sqlite3session.c компонента make alltest Handler. Манипуляция приводит к переполнению буфера на куче. Рекомендуется применить патч для исправления этой проблемы. Связанный идентификатор этой уязвимости — VDB-248999.
CVE-2022-46908SQLite до версии 3.40.0, при использовании --safe для выполнения ненадежного скрипта CLI, неправильно реализует механизм защиты azProhibitedFunctions и вместо этого разрешает UDF-функции, такие как WRITEFILE.
CVE-2020-13630ext/fts3/fts3.c в SQLite до версии 3.32.0 имеет использование после освобождения в fts3EvalNextRow, связанное с функцией фрагмента.
CVE-2025-7709В расширении FTS5 для SQLite обнаружена уязвимость целочисленного переполнения. Она возникает при расчете размера массива указателей tombstone, который усекается до 32-битного целого числа. Это позволяет злоумышленнику записать указатель на частично контролируемые данные за пределами массива [1]. Уязвимость исправлена в версии SQLite 3.50.
Источники:
- [1] https://github.com/google/security-research/security/advisories/GHSA-v2c8-vqqp-hv3g
CVE-2025-3277В функции SQLite `concat_ws()` может быть вызвано переливом единичного зномера. Полученное, усеченное цепоение затем используется для выделения буфера. Когда SQLite затем записывает полученную строку в буфер, он использует оригинальный, неугонный размер, и, таким образом, может быть запущено переполнение дикого кучи Buffer размера ~ 4GB. Это может привести к произвольному исполнению кода.
CVE-2020-9849Проблема раскрытия информации была устранена путем улучшения управления состоянием. Проблема устранена в macOS Big Sur 11.0.1, watchOS 7.0, iOS 14.0 и iPadOS 14.0, iTunes для Windows 12.10.9, iCloud для Windows 11.5, tvOS 14.0. Удаленный злоумышленник может получить возможность раскрытия памяти.
CVE-2019-13753Чтение за границами в SQLite в Google Chrome до версии 79.0.3945.79 позволяло удаленному злоумышленнику получать потенциально конфиденциальную информацию из памяти процесса через специально созданную HTML-страницу.
CVE-2019-13752Чтение за границами в SQLite в Google Chrome до версии 79.0.3945.79 позволяло удаленному злоумышленнику получать потенциально конфиденциальную информацию из памяти процесса через специально созданную HTML-страницу.