Eine Sicherheitslücke in der MariaDB-Datenbanksoftware ermöglicht es privilegierten Benutzern, über bestimmte Systemvariablen Befehle auf dem Server auszuführen. Dies kann zur vollständigen Kompromittierung des Datenbanksystems führen.
Eine Schwachstelle in MariaDB-Datenbankservern ermöglicht es böswilligen Knoten, beliebige Systembefehle auf anderen Servern auszuführen, wenn diese sich einem Datenbankcluster anschließen.
MariaDB-Datenbankserver prüfte in bestimmten Versionen nicht korrekt die Dateiberechtigungen, wodurch Benutzer ohne entsprechende Rechte Daten in Dateien exportieren konnten. Dies ermöglicht unbefugten Zugriff auf sensible Datenbankinhalte.
Eine Schwachstelle in MariaDB-Versionen 3.3.18 und 3.4.8 ermöglicht SQL-Injection-Angriffe trotz Verwendung der Sicherheitsfunktion mysql_real_escape_string() bei der big5-Zeichenkodierung.
Eine Schwachstelle im MariaDB-Backup-Tool mbstream ermöglicht es Angreifern, durch speziell präparierte Archive Dateien außerhalb des vorgesehenen Zielordners zu erstellen, was zu unbefugtem Dateizugriff führen kann.
Eine Schwachstelle in MariaDB auf Windows-Systemen ermöglicht es Benutzern, Systembefehle auszuführen, wenn die CONNECT-Engine mit REST-Unterstützung aktiviert ist, da HTTP-Attribute unsicher verarbeitet werden.
In bestimmten MariaDB-Versionen können Benutzer mit Ausführungsrechten für gespeicherte Routinen deren Quellcode einsehen, obwohl ihnen die entsprechende Berechtigung fehlt.
Eine Sicherheitslücke in der MariaDB-Datenbanksoftware ermöglicht es böswilligen Clients, beliebige Systembefehle auf dem Server auszuführen, indem sie ungeprüfte Parameter während der Datensynchronisation senden.
MariaDB-Datenbankserver führt bei aktivierter wsrep_notify_cmd-Funktion schädliche Befehle aus, die in Knotennamen eingebettet sind, was Angreifern vollständige Systemkontrolle ermöglicht.
Eine Sicherheitslücke in Dokploy, einer selbst-hostbaren Plattform-Software, ermöglicht es authentifizierten Benutzern, auf Ressourcen anderer Organisationen zuzugreifen, da die Zugriffskontrolle unvollständig implementiert ist.
Eine SQL-Injection-Schwachstelle in SOGo (nicht MariaDB selbst) ermöglicht Angreifern das Einschleusen schädlicher Datenbankbefehle, wenn Klartext-Passwörter mit PostgreSQL oder MariaDB gespeichert werden.
Ein Fehler in MariaDB-Datenbankservern ermöglicht es Angreifern, den Server zum Absturz zu bringen, indem sie große Datenpakete senden, wenn das caching_sha2_password-Plugin aktiviert ist.
betrifft: <11.4.10; ≥11.5.0 <11.8.6; ≥12.0.0 <12.2.2
Eine Schwachstelle in der JSON_SCHEMA_VALID() Funktion von MariaDB ermöglicht es angemeldeten Benutzern, den Datenbankserver zum Absturz zu bringen und unter speziellen Umständen möglicherweise schädlichen Code auszuführen.
betrifft: ≥11.4.1 <11.4.10; ≥11.8.1 <11.8.6; =12.1.2
Eine Sicherheitslücke in Spring AI's MariaDB-Komponente ermöglicht es Angreifern, schädliche SQL-Befehle einzuschleusen und auszuführen, wodurch Zugriffskontrollen umgangen und Datenbankdaten kompromittiert werden können.
In MariaDB-Datenbankservern bis Version 11.8.5 werden SQL-Befehle nicht protokolliert, wenn sie mit bestimmten Kommentarzeichen beginnen und das Audit-Plugin aktiviert ist. Dies kann Sicherheitsüberwachung umgehen.
betrifft: ≤10.6.24; ≥10.7.0 ≤10.11.15; ≥11.0.0 ≤11.4.9; ≥11.5.0 ≤11.8.5