Une vulnérabilité de gravité sévère a été découverte dans HyperSQL DataBase (HSQLDB), elle peut permettre à un acteur de la menace d’exécuter de code à distance (RCE) sur les systèmes affectés.

HSQLDB est un système de base de données relationnelle SQL basé sur Java, elle e classe au deuxième rang des bases de données SQL intégrées les plus populaires avec 100 millions de téléchargements. Cette technologie est utilisée pour le développement, le test et le déploiement d'applications de base de données.

Répertoriée sous le nom de CVE-2022-41853 avec un score CVSS quasi-maximal de 9.8, la faille est due à un problème dans la procédure d'analyse syntaxique des données aux formats binaire et texte dans les composants java.sql.Statement et java.sql.PreparedStatement de la technologie.

"Le problème est déjà corrigé en amont et sera disponible dans la prochaine version", ont déclaré les chercheurs qui ont signalé la faille. "A partir de la version 2.7.1. La propriété ‘hsqldb.method_class_names’ doit être définie avec une liste de noms de classes ou de jokers si une méthode statique Java quelconque est utilisée comme cible de routine HSQLDB."

Selon les chercheurs en sécurité de Code Intelligence, il est possible d'utiliser des instructions SQL pour appeler n'importe quelle méthode statique de n'importe quelle classe Java dans le chemin des classes. Cela signifie que HSQLDB utilise les deux méthodes précédemment mentionnés avec des entrées non fiables ce qui peut rendre les applications vulnérables à une attaque RCE.