Вразливість у MariaDB дозволяє виконувати довільні команди під час SST

Вразливість у MariaDB дозволяє виконувати довільні shell-команди під час SST. Оновіть MariaDB до безпечних версій для захисту серверів баз даних.
CVE-2026-44168CVSS 8.0Database

Вразливість у MariaDB дозволяє виконувати довільні команди під час SST

Вразливість у MariaDB дозволяє виконувати довільні shell-команди під час SST. Оновіть MariaDB до безпечних версій для захисту серверів баз даних.

CVSS
8.0 HIGH
EPSS
42.85%
Активно використовується
немає в KEV
Продукт
mariadb

Що відомо

У MariaDB виявлено вразливість, що дозволяє зловмиснику виконувати довільні shell-команди на сервері-донорі під час процесу SST (State Snapshot Transfer). Проблема стосується версій від 10.6.1 до 10.6.26, 10.11.1 до 10.11.17, 11.4.1 до 11.4.11, 11.8.1 до 11.8.7 та 12.3.1 і була виправлена у новіших релізах.

Бізнес-вплив

Ця вразливість може призвести до компрометації серверів баз даних MariaDB, що використовують SST через mariabackup, дозволяючи зловмисникам виконувати довільні команди на сервері-донорі. Це створює серйозний ризик для безпеки даних і стабільності інфраструктури, особливо у середовищах з реплікацією баз даних.

Рекомендовані дії адміністратора

Адміністраторам рекомендується якнайшвидше оновити MariaDB до версій 10.6.26, 10.11.17, 11.4.11, 11.8.7 або 12.3.2 і вище. Якщо оновлення наразі неможливе, слід обмежити доступ до SST, ретельно перевірити журнали на ознаки зловмисної активності та мінімізувати експозицію серверів, що виконують роль донора.

Джерела