1. 通告信息

近日，研究人员披露了SQLite中的一个数组边界溢出漏洞（CVE-2022-35737），该漏洞的CVSSv3评分为7.5，并已存在了22年，目前漏洞细节和PoC已公开。

对此，安识科技建议广大用户及时升级到安全版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

2. 漏洞概述

漏洞名称：SQLite数组边界溢出漏洞

CVE编号：CVE-2022-35737

简述：SQLite是广泛使用的数据库引擎，默认包含在 Android、iOS、Windows 和 macOS 以及主流的Web 浏览器（如 Google Chrome、Mozilla Firefox 和 Apple Safari）中。

SQLite 1.0.12到3.39.2之前的版本中存在漏洞，当向某些函数传递大量字符串输入且格式字符串中含%Q、%q或%w格式替换类型或特殊字符时，某些情况下可能导致拒绝服务或任意代码执行。

3. 漏洞危害

SQLite 1.0.12到3.39.2之前的版本中存在漏洞，当向某些函数传递大量字符串输入且格式字符串中含%Q、%q或%w格式替换类型或特殊字符时，某些情况下可能导致拒绝服务或任意代码执行。

4. 影响版本

目前受影响的SQLite版本：

1.0.12 <= SQLite版本 < 3.39.2

5. 解决方案

目前该漏洞已经修复，受影响用户可以升级到SQLite 3.39.2或更高版本。