Vulnerabilità: CVE-2020-4035

In WatermelonDB (pacchetto NPM ""@ Nozbe / watermelondb"") prima le versioni 0.15.1 e 0.16.2, un ID di record pericoloso in grado di sfruttare una vulnerabilità di SQL Injection nell’attuazione adattatore iOS e causare l’applicazione per eliminare tutti o record selezionati dal database , generalmente causando l’applicazione per diventare inutilizzabile. Questo può accadere in applicazioni che non gli ID validate (ID validi sono `/ ^ [a-zA-Z0-9 _-.] + $ /`) E usare Anguria Sync o basso livello di metodo `database.adapter.destroyDeletedRecords` . Il rischio integrità è bassa a causa del fatto che i record maliziosamente eliminati non saranno sincronizzazione, in modo di logout-login sarà ripristinare tutti i dati, anche se alcuni cambiamenti locali possono essere persi se la cancellazione dannoso fa sì che il processo di sincronizzazione non riuscire a passare alla fase di spinta. Non c’è modo di violazione della riservatezza con questa vulnerabilità è nota. pieno sfruttamento SQL Injection è mitigato, perché non è possibile nido una query di inserimento / aggiornamento all’interno di una query di eliminazione in SQLite, e non è possibile passare una seconda query virgola separati. Inoltre non c’è nota via praticabile per violazione della riservatezza da eliminazione di record in modo selettivo, in quanto non saranno sincronizzati i record. E ‘teoricamente possibile che registrano selettiva eliminazione potrebbe causare un app a comportarsi in modo non sicuro se la mancanza di un record viene utilizzato per prendere decisioni di sicurezza per l’applicazione. Questo è patchato nella versione 0.15.1, 0.16.2 e 0.16.1-fix


https://github.com/Nozbe/WatermelonDB/security/advisories/GHSA-38f9-m297-6q9g
https://github.com/Nozbe/WatermelonDB/commit/924c7ae2a8d7d6459656751e5b9b1bf91a218025
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-4035


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi