CVE-2026-35549
ŚrednieCVSS 6.5Streszczenie
Wykryto problem w serwerze MariaDB przed wersją 11.4.10, 11.5.x do 11.8.x przed 11.8.6 oraz 12.x przed 12.2.2. Jeśli zainstalowany jest wtyczka uwierzytelniająca caching_sha2_password, a niektóre konta użytkowników są skonfigurowane do jej używania, duża paczka może spowodować awarię serwera, ponieważ sha256_crypt_r używa alloca.
Ocena ryzyka
Awarie serwera mogą prowadzić do przerw w dostępności usług oraz potencjalnych strat finansowych dla organizacji. Użytkownicy korzystający z wtyczki caching_sha2_password są szczególnie narażeni na ten problem.
Rekomendacja
Zaleca się aktualizację serwera MariaDB do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto rozważyć zmianę konfiguracji kont użytkowników, aby zminimalizować ryzyko związane z dużymi paczkami.
Oryginalny opis (angielski, źródło NVD)
An issue was discovered in MariaDB Server before 11.4.10, 11.5.x through 11.8.x before 11.8.6, and 12.x before 12.2.2. If the caching_sha2_password authentication plugin is installed, and some user accounts are configured to use it, a large packet can crash the server because sha256_crypt_r uses alloca.

