CVE-2026-48773
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
ProxySQL, będący proxy dla MySQL i PostgreSQL, ma podatność na uszkodzenie pamięci w stercie przed uwierzytelnieniem w wersjach od 2.0.18 do 3.0.8. Zdalny, nieautoryzowany klient może zadeklarować zbyt dużą długość pierwszego pakietu, co prowadzi do potencjalnego wykorzystania tej luki.
Ocena ryzyka
Podatność ta może umożliwić atakującym zdalne wykonanie kodu lub destabilizację serwera ProxySQL, co może prowadzić do poważnych zakłóceń w działaniu aplikacji korzystających z bazy danych.
Rekomendacja
Zaleca się aktualizację ProxySQL do wersji 3.0.9 lub nowszej, aby usunąć tę lukę bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
ProxySQL is a proxy for MySQL and its forks, as well as PostgreSQL. Versions 2.0.18 through 3.0.8 have a pre-authentication heap memory corruption vulnerability in the MySQL and PostgreSQL protocol first-read paths. A remote unauthenticated client can declare an oversized first packet length, and ProxySQL passes that attacker-controlled length directly to `recv()` while writing into a fixed 32 KB input queue. Version 3.0.9 patches the issue.

