Критична вразливість у SQLite sqldiff.exe на Windows дозволяє завантаження довільних DLL

Вразливість у SQLite sqldiff.exe дозволяє завантаження довільних DLL через неправильну обробку Unicode на Windows. Рекомендується оновлення та обмеження використання.
CVE-2025-71316CVSS 9.2Windows

Критична вразливість у SQLite sqldiff.exe на Windows дозволяє завантаження довільних DLL

Вразливість у SQLite sqldiff.exe дозволяє завантаження довільних DLL через неправильну обробку Unicode на Windows. Рекомендується оновлення та обмеження використання.

CVSS
9.2 CRITICAL
EPSS
30.41%
Активно використовується
немає в KEV
Продукт
-

Що відомо

Утиліта SQLite sqldiff.exe неправильно обробляє конвертацію Unicode в ANSI на Windows, що дозволяє зловмиснику через опцію -L завантажити довільну DLL шляхом маніпуляції аргументами командного рядка. Вразливість виправлена приблизно 26 грудня 2025 року.

Бізнес-вплив

Ця критична вразливість може призвести до виконання довільного коду з правами користувача, що запускає sqldiff.exe, створюючи ризик компрометації системи. Для організацій, які використовують SQLite на Windows, це означає потенційну загрозу безпеці, особливо якщо sqldiff.exe запускається в автоматизованих процесах або з підвищеними правами.

Рекомендовані дії адміністратора

Рекомендується негайно перевірити наявність оновлень SQLite та застосувати виправлення, випущені після 26 грудня 2025 року. Якщо оновлення недоступні, слід обмежити використання sqldiff.exe, уникати запуску з неперевіреними параметрами та переглянути журнали на предмет підозрілої активності. Також варто впровадити моніторинг та обмеження прав користувачів, які можуть запускати цю утиліту.

Джерела