一、安全预警 

10月25日，研究人员披露了SQLite中的一个数组边界溢出漏洞（CVE-2022-35737），该漏洞的CVSSv3评分为7.5，并已存在了22年，目前漏洞细节和PoC已公开。

 二、事件信息 

（一）事件概要 

事件名称 SQLite数组边界溢出漏洞

威胁类型 数组边界溢出 

威胁等级 高

受影响的应用版本 >= 1.0.12 , < 3.39.2

（二）漏洞描述 

该漏洞存在于SQLite中，当攻击者向SQLite的某些函数传递大量字符串输入且格式字符串包含%Q、%q或%w格式替换类型时，可能会造成缓冲区溢出，导致拒绝服务或任意代码执行。

（三）影响范围 

1.0.12 <= SQLite版本 < 3.39.2

三、处置建议 

目前该漏洞已经修复，受影响用户可以升级到SQLite 3.39.2或更高版本。

下载链接：https://www.sqlite.org/chronology.HTML

更新参考：https://sqlite.org/releaselog/3_39_2.HTML