Когда MariaDB работает в Windows, когда локальные клиенты подключаются к серверу через именованные каналы, непривилегированный пользователь…

Когда MariaDB работает в Windows, когда локальные клиенты подключаются к серверу через именованные каналы, непривилегированный пользователь с возможностью выполнения кода на серверной машине может перехватить соединение именованного канала и действовать как человек посередине, получая доступ ко всем данным, передаваемым между клиентом и сервером, и получая возможность выполнять команды SQL от имени подключенного пользователя. Это происходит из-за неправильного дескриптора безопасности. Это затрагивает MariaDB Server до 10.1.48, 10.2.x до 10.2.35, 10.3.x до 10.3.26, 10.4.x до 10.4.16 и 10.5.x до 10.5.7. ПРИМЕЧАНИЕ: эта проблема существует, потому что некоторые детали исправления MariaDB CVE-2019-2503 не полностью устранили варианты атак на MariaDB. Эта ситуация специфична для MariaDB, и поэтому CVE-2020-28912 НЕ применяется к другим поставщикам, которые первоначально были затронуты CVE-2019-2503.