タイトル: Oracle MySQL Cluster Data Node Improper Validation of Array Index Remote Code Execution Vulnerability ID - ZDI-22-088 - ZDI-CAN-13966 CVE ID: CVE-2022-21286 CVSS スコア: 9.8 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) 影響を受けたベンダー: Oracle 影響を受けた製品: MySQL Cluster 脆弱性の詳細: - この脆弱性により、リモート攻撃者は Oracle MySQL Cluster の脆弱なインストールに任意のコードを実行することができます。 - 従う認証は、この脆弱性を悪用するのに必要ありません。 - 特定の要因は、Data Node ジョブの処理に存在します。 - 問題は、ユーザー入力データの適切な検証の欠如から生じ、アレイの終端を超えた書き込みに導くことができます。 - 攻撃者は、この脆弱性を悪用し、サービス アカウントのコンテキストでコードを実行することができます。 追加の詳細: Oracle は、この脆弱性を修正するアップデートをリリースしました。 - 詳細は以下から参照: https://www.oracle.com/security-alerts/cpujan2022.html 開示タイムライン: - 2021-06-09:脆弱性報告にベンダー - 2022-01-27:コーディネート公開発表 クレジット: Anonymous