Эксперт информационной безопасности Давид Голунски выявил критическую уязвимость типа race condition, которая затрагивает такие системы управления базами данных, как MariaDB, MySQl, Percona Server и Percona XtraDB Cluster.
С помощью этой ошибки локальный пользователь, имеющий доступ к уязвимой базе данных, может повышать права на системе в контексте аккаунта с низким уровнем привилегий и выполнять произвольный код. Используя уязвимость, злоумышленник может заполучить доступ ко всем базам данных, которые хранятся на целевом сервере. Если, наряду с упомянутой выше ошибкой, использовать еще две уязвимости, хакер получит суперпользовательские права и полностью захватит контроль над сервером.
Голунски сообщил разработчикам MariaDB, MySQl и PerconaDB о своей находке. Кроме того, исследователь обнародовал эксплоит для нее.