一、漏洞詳情

SQLite是廣泛使用的數(shù)據(jù)庫(kù)引擎，默認(rèn)包含在A(yíng)ndroid、iOS、Windows和macOS以及主流的Web 瀏覽器（如Google Chrome、Mozilla Firefox和Apple Safari）中。

近期披露了SQLite中的一個(gè)數(shù)組邊界溢出漏洞（CVE-2022-35737），目前漏洞細(xì)節(jié)和PoC已公開(kāi)。SQLite 1.0.12到3.39.2之前的版本中存在漏洞，當(dāng)向某些函數(shù)傳遞大量字符串輸入且格式字符串中含%Q、%q或%w格式替換類(lèi)型或特殊字符!時(shí)，某些情況下可能導(dǎo)致拒絕服務(wù)或任意代碼執(zhí)行。

建議受影響用戶(hù)做好資產(chǎn)自查以及預(yù)防工作，以免遭受黑客攻擊。

二、影響范圍

1.0.12 <= SQLite版本 < 3.39.2

三、修復(fù)建議

目前該漏洞已經(jīng)修復(fù)，受影響用戶(hù)可以升級(jí)到SQLite 3.39.2或更高版本。

下載鏈接：https://www.sqlite.org/chronology.html