Vulnérabilité dans MariaDB
Date de publication :
Une vulnérabilité critique a récemment été corrigée dans MariaDB.
CVE-2020-15180[Score CVSS v3 : 9.0] : Une faille a été découverte dans le composant “mysql-wsrep” de MariaDB. L'absence de vérification des données passées en entrée dans la méthode “wrep_sst_method” peut permettre l'injection de commandes qui peuvent être exploitées par un attaquant distant et non-authentifié pour exécuter des commandes arbitraires.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Injection de code arbitraire
Criticité
- Score CVSS v3 : 9.0
Existence d’un code d’exploitation
- Il n’existe, à ce jour, aucun code d’exploitation disponible.
Composants vulnérables
Les versions de MariaDB vulnérables sont les suivantes :
- Versions inférieures à 10.5.6
- Versions inférieures à 10.4.15
- Versions inférieures à 10.3.25
- Versions inférieures à 10.2.34
- Versions inférieures à 10.1.47
CVE
Solutions ou recommandations
Mise en place de correctifs de sécurité
Mettre à jour MariaDB vers les versions suivantes :
Version 10.5.6 ou supérieure
Version 10.4.15 ou supérieure
Version 10.3.25 ou supérieure
Version 10.2.34 ou supérieure
Version 10.1.47 ou supérieure
Solution de contournement
Il n’existe pas, à ce jour, de solution de contournement pour cette vulnérabilité.