| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 5.9 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle, die als kritisch eingestuft wurde, wurde in MariaDB Server bis 10.6.25/10.11.16/11.4.10/11.8.6/12.3.1 gefunden. Hierbei betrifft es unbekannten Programmcode der Komponente joiner Handler. Durch Manipulation mit unbekannten Daten kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Diese Schwachstelle wird als CVE-2026-44168 gehandelt. Der Angriff lässt sich über das Netzwerk starten. Es ist kein Exploit verfügbar. Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine problematische Schwachstelle in MariaDB Server bis 10.6.25/10.11.16/11.4.10/11.8.6/12.3.1 gefunden. Es betrifft unbekannter Code der Komponente joiner Handler. Mittels Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-78 vorgenommen. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
MariaDB server is a community developed fork of MySQL server. From versions 10.6.1 to before 10.6.26, 10.11.1 to before 10.11.17, 11.4.1 to before 11.4.11, 11.8.1 to before 11.8.7, and 12.3.1, during the SST the donor node is interpolating parameters that the joiner sent into the command line. Not all parameters were properly validated which could allow a malicious joiner to execute arbitrary shell commands on the donor side via the mariabackup SST method. This issue has been patched in versions 10.6.26, 10.11.17, 11.4.11, 11.8.7, and 12.3.2.Das Advisory findet sich auf github.com. Die Identifikation der Schwachstelle wird seit dem 05.05.2026 mit CVE-2026-44168 vorgenommen. Sie ist schwierig auszunutzen. Der Angriff kann über das Netzwerk erfolgen. Das Ausnutzen erfordert eine erweiterte Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden. Diese Schwachstelle wird durch das MITRE ATT&CK als Angriffstechnik T1202 bezeichnet.
Ein Aktualisieren auf die Version 10.6.26, 10.11.17, 11.4.11, 11.8.7 oder 12.3.2 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2026-36514) dokumentiert. Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
- 10.6.0
- 10.6.1
- 10.6.2
- 10.6.3
- 10.6.4
- 10.6.5
- 10.6.6
- 10.6.7
- 10.6.8
- 10.6.9
- 10.6.10
- 10.6.11
- 10.6.12
- 10.6.13
- 10.6.14
- 10.6.15
- 10.6.16
- 10.6.17
- 10.6.18
- 10.6.19
- 10.6.20
- 10.6.21
- 10.6.22
- 10.6.23
- 10.6.24
- 10.6.25
- 10.11.0
- 10.11.1
- 10.11.2
- 10.11.3
- 10.11.4
- 10.11.5
- 10.11.6
- 10.11.7
- 10.11.8
- 10.11.9
- 10.11.10
- 10.11.11
- 10.11.12
- 10.11.13
- 10.11.14
- 10.11.15
- 10.11.16
- 11.4.0
- 11.4.1
- 11.4.2
- 11.4.3
- 11.4.4
- 11.4.5
- 11.4.6
- 11.4.7
- 11.4.8
- 11.4.9
- 11.4.10
- 11.8.0
- 11.8.1
- 11.8.2
- 11.8.3
- 11.8.4
- 11.8.5
- 11.8.6
- 12.3.0
- 12.3.1
Lizenz
Webseite
- Produkt: https://github.com/MariaDB/server/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.0VulDB Meta Temp Score: 5.9
VulDB Base Score: 4.1
VulDB Temp Score: 3.9
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
CNA Base Score: 8.0
CNA Vector (GitHub_M): 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-78 / CWE-77 / CWE-74
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Server 10.6.26/10.11.17/11.4.11/11.8.7/12.3.2
Timeline
05.05.2026 CVE zugewiesen12.06.2026 Advisory veröffentlicht
12.06.2026 VulDB Eintrag erstellt
13.06.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comAdvisory: GHSA-vwf7-w26c-9w5h
Status: Bestätigt
CVE: CVE-2026-44168 (🔒)
GCVE (CVE): GCVE-0-2026-44168
GCVE (VulDB): GCVE-100-370695
EUVD: 🔒
Eintrag
Erstellt: 12.06.2026 22:35Aktualisierung: 13.06.2026 00:58
Anpassungen: 12.06.2026 22:35 (66), 13.06.2026 00:58 (1)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.