CVE-2026-35549
MediumCVSS 6.5Summary
Wykryto problem w serwerze MariaDB przed wersją 11.4.10, 11.5.x do 11.8.x przed 11.8.6 oraz 12.x przed 12.2.2. Jeśli zainstalowany jest wtyczka uwierzytelniająca caching_sha2_password, a niektóre konta użytkowników są skonfigurowane do jej używania, duża paczka może spowodować awarię serwera, ponieważ sha256_crypt_r używa alloca.
Risk Assessment
Awarie serwera mogą prowadzić do przerw w dostępności usług oraz potencjalnych strat finansowych dla organizacji. Użytkownicy korzystający z wtyczki caching_sha2_password są szczególnie narażeni na ten problem.
Recommendation
Zaleca się aktualizację serwera MariaDB do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto rozważyć zmianę konfiguracji kont użytkowników, aby zminimalizować ryzyko związane z dużymi paczkami.
Original NVD description (English source)
An issue was discovered in MariaDB Server before 11.4.10, 11.5.x through 11.8.x before 11.8.6, and 12.x before 12.2.2. If the caching_sha2_password authentication plugin is installed, and some user accounts are configured to use it, a large packet can crash the server because sha256_crypt_r uses alloca.

