Alerta de seguridad
Nivel de peligrosidad: Alto
Descripción
La vulnerabilidad CVE-2022-35737, que afecta a las aplicaciones que utilizan la API de la biblioteca SQLite. Se introdujo en la versión 1.0.12 de SQLite (publicada el 17 de octubre de 2000) y se corrigió en la versión 3.39.2 (publicada el 21 de julio de 2022), es explotable en sistemas de 64 bits, y la explotabilidad depende de cómo se compile el programa; la ejecución de código arbitrario se confirma cuando la biblioteca se compila sin controles de pila.
En sistemas vulnerables, CVE-2022-35737 es explotable cuando se pasan entradas de cadenas grandes a las implementaciones de SQLite de las funciones printf y cuando la cadena de formato contiene los tipos de sustitución de formato %Q, %q, %w. Esto es suficiente para que el programa se bloquee. También si la cadena de formato contiene el caracter ! para habilitar el escaneo de caracteres Unicode, entonces es posible lograr la ejecución de código arbitrario en el peor de los casos.
Recursos afectados
SQLite versión 1.0.12 hasta la versión 3.39.1
Solución
La versión corregida es SQLite versión 3.39.2 lanzada el 21 de julio de 2022.
Recomendaciones
No todos los sistemas o aplicaciones que usan SQLite y las funciones printf son vulnerables. Para aquellos que lo son, CVE-2022-35737 es una vulnerabilidad crítica que puede permitir a los atacantes bloquear o controlar programas.