Katalog CVE

CVE-2026-44170

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.55%

Percentyl 42 — wyżej niż 42% wszystkich znanych CVE

Streszczenie

Podatność w MariaDB na Windows z włączonym silnikiem CONNECT i obsługą REST pozwala na wstrzyknięcie poleceń powłoki przez nieprawidłowe oczyszczenie atrybutu HTTP tabeli w wywołaniu curl. Problem dotyczy wersji od 10.6.1 do 10.6.26, 10.11.1 do 10.11.17, 11.4.1 do 11.4.11, 11.8.1 do 11.8.7 oraz 12.3.1.

Ocena ryzyka

Atakujący może zdalnie wykonać dowolne polecenia systemowe na serwerze, co prowadzi do pełnego przejęcia kontroli nad systemem Windows, kradzieży danych lub zakłócenia działania usług.

Rekomendacja

Niezwłocznie zaktualizuj MariaDB do wersji 10.6.26, 10.11.17, 11.4.11, 11.8.7 lub 12.3.2. Jeśli aktualizacja nie jest możliwa, wyłącz silnik CONNECT lub obsługę REST.

Oryginalny opis (angielski, źródło NVD)

MariaDB server is a community developed fork of MySQL server. From versions 10.6.1 to before 10.6.26, 10.11.1 to before 10.11.17, 11.4.1 to before 11.4.11, 11.8.1 to before 11.8.7, and 12.3.1, MariaDB on WIndows with installed CONNECT engine and enabled REST support interpolated table HTTP attribute into the curl command line without proper sanitizing. This allows the user to execute shell commands on the server. This issue has been patched in versions 10.6.26, 10.11.17, 11.4.11, 11.8.7, and 12.3.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS