Zraniteľnosti v databázovom systéme SQLite

Vývojári databázového systému SQLite vydali bezpečnostné aktualizácie svojho produktu, ktoré opravujú dve zraniteľnosti. Ich zneužitím možno vyvolať poškodenie pamäte a zneprístupnenie služby kvôli pádu aplikácie.

Zraniteľné systémy:

• SQLite 3.44.0 až 3.49.0

Opis zraniteľnosti:

CVE-2025-29087  (CVSS 3.1 skóre: 9,8 / 3,2)

Zraniteľnosť sa nachádza v SQL funkcii concat_ws() a vzdialený neautentifikovaný útočník by ju zaslaním veľkých reťazcov (2MB alebo väčšie) mohol zneužiť na pretečenie celočíselnej premennej a následné vyvolanie poškodenia pamäte.

CVE-2025-29088  (CVSS 3.1 skóre: 7,5 / 5,6)

Zraniteľnosť spočíva v nesprávnej implementácii operácie násobenia sz*nBig. Zaslaním špeciálne vytvorených argumentov do sqlite3_db_config používaného v rámci API rozhrania programovacieho jazyka C možno spôsobiť nesprávnu alokáciu pamäte, čo môže viesť ku pádu aplikácie, resp. zneprístupneniu služby.

Možné škody:

• Poškodenie pamäte
• Zneprístupnenie služby

Odporúčania:

Odporúčame vykonať bezodkladnú aktualizáciu SQLite na verziu 3.49.1.

Zdroje:

• https://sqlite.org/releaselog/3_49_1.html
• https://www.cvedetails.com/cve/CVE-2025-29087/
• https://www.cvedetails.com/cve/CVE-2025-29088
• https://nvd.nist.gov/vuln/detail/CVE-2025-29087
• https://nvd.nist.gov/vuln/detail/CVE-2025-29088