ГлавнаяБаза уязвимостей БДУ → BDU:2024-08759
10критическая

BDU:2024-08759 (CVE-2023-26785)

Уязвимость пользовательских функций (UDF) системы управления базами данных MariaDB, позволяющая нарушителю выполнить произвольный код
Опубликовано: 2024-10-30
Описание

Уязвимость пользовательских функций (UDF) системы управления базами данных MariaDB связана с недостаточной проверкой вводимых данных. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код

Затрагиваемое ПО и версии
MariaDB (10.5)
Способ устранения

Компенсирующие меры:
- ограничение прав пользователей, только администраторы базы данных должны иметь возможность добавлять или изменять пользовательские функции, роли пользователей должны исключать возможности добавления или вызова UDF без необходимости.
;
- отключение поддержки пользовательских функций, удалив каталог плагинов из конфигурации MariaDB или наложив ограничения на использование UDF;
- ограничить предоставление привилегий SUPER и FILE обычным пользователям, так как они требуются для создания и использования пользовательских функций;
- запрет использования системных команд внутри UDF;
- ограничение доступа к каталогу плагинов MariaDB (определяемого переменной @@plugin_dir).

Оценка CVSS
Балл10 — критическая опасность
Источники и патчи
https://vuldb.com/?id.280867https://nvd.nist.gov/vuln/detail/CVE-2023-26785https://github.com/Ant1sec-ops/CVE-2023-26785https://www.security-database.com/detail.php?alert=CVE-2023-26785https://seclists.org/fulldisclosure/2012/Dec/39
Проверьте безопасность своего сайта и почты → Полная проверка домена