Sursa: dnsc.ro
CVE-2026-49261 este o vulnerabilitate critică, cu un scor CVSS de 10 (scor maxim), de tip „OS Command Injection (CWE-78)”, identificată în MariaDB Server. Vulnerabilitatea afectează mecanismul „wsrep_notify_cmd”, utilizat în implementările Galera Cluster. Din cauza unei validări insuficiente a datelor de intrare, un potențial atacator poate manipula valoarea asociată numelui unui nod care se alătură clusterului (joiner node), precum și adresa de intrare a acestuia, determinând executarea de comenzi arbitrare pe sistemul de operare cu privilegiile procesului MariaDB.
IMPACT ȘI CONDIȚII DE EXPLOATARE
Exploatarea cu succes a vulnerabilității poate duce la compromiterea confidențialității, integrității și disponibilității sistemului afectat pe care rulează instanța MariaDB.
Vulnerabilitatea este exploatabilă numai în mediile în care funcționalitatea „wsrep_notify_cmd” este configurată și activată, fiind relevantă în special pentru implementările MariaDB care utilizează Galera Cluster.
Exploatarea necesită ca atacatorul să aibă acces la infrastructura de comunicare a clusterului Galera (prin porturile 4567, 4568, 4444) și capacitatea de a iniția sau simula un proces de alăturare a unui nod nou la cluster. Acest lucru se realizează prin manipularea valorii transmise pentru numele nodului “wsrep_node_name”, sau pentru adresa sa de rețea “wsrep_node_incoming_address”.
VERSIUNI VULNERABILE
Sunt afectate următoarele versiuni ale MariaDB Server:
- Seria 10.6: versiunile 10.6.1 – 10.6.26;
- Seria 10.11: versiunile 10.11.1 – 10.11.17;
- Seria 11.4: versiunile 11.4.1 – 11.4.11;
- Seria 11.8: versiunile 11.8.1 – 11.8.7;
- Seria 12.3: versiunea 12.3.1.
RECOMANDĂRI GENERALE
- Actualizarea MariaDB Server la o versiune remediată, corespunzătoare ramurii utilizate:
- 10.6.27 sau o versiune ulterioară;
- 10.11.18 sau o versiune ulterioară;
- 11.4.12 sau o versiune ulterioară;
- 11.8.8 sau o versiune ulterioară;
- 12.3.2 sau o versiune ulterioară.
- Dacă actualizarea nu este posibilă imediat, se recomandă dezactivarea opțiunii „wsrep_notify_cmd” până la aplicarea actualizării de securitate.
- Restricționarea accesului la nodurile Galera Cluster, astfel încât doar sistemele și administratorii autorizați să poată comunica cu acestea.
- Implementarea unor măsuri de protecție la nivel de rețea, prin utilizarea firewall-urilor și segmentarea rețelei pentru limitarea accesului la porturile de comunicare ale clusterului (4567, 4568, 4444), astfel încât doar nodurile de încredere să poată iniția conexiuni pe porturile menționate.
- Verificarea existenței unor potențiali indicatori de compromitere (IoCs), precum:
- starea variabilei de configurare “wsrep_notify_cmd”, pentru a stabili dacă sistemul este expus acestei vulnerabilități;
- execuția unor procese suspecte inițiate de utilizatorul MariaDB;
- conexiuni de rețea neobișnuite inițiate de serverul MariaDB;
- prezența caracterelor specifice comenzilor shell (de exemplu ;, &&, |, `, $()) în valorile wsrep_node_name;
- apariția unor noduri noi sau a unor evenimente neobișnuite în log-urile MariaDB și Galera Cluster;
- modificări neautorizate ale fișierelor de sistem sau ale configurației serverului.
CONCLUZII
CVE-2026-49261 reprezintă o vulnerabilitate critică de tip „OS Command Injection” care afectează implementarea mecanismului „wsrep_notify_cmd” din MariaDB Server utilizat împreună cu Galera Cluster. Exploatarea acesteia poate conduce la executarea de cod arbitrar pe server și la compromiterea completă a sistemului afectat.
Deși vulnerabilitatea este exploatabilă doar atunci când funcționalitatea vulnerabilă este activată, impactul potențial este foarte ridicat, motiv pentru care organizațiile care utilizează clustere MariaDB trebuie să prioritizeze aplicarea actualizărilor de securitate sau, dacă acest lucru nu este posibil imediat, să dezactiveze „wsrep_notify_cmd” până la implementarea patch-urilor oficiale.