[TLP:CLEAR]
bollettino di sicurezza 89/2026
Aggiornamenti Mariadb
25-03-2026
mariadb, denial-of-service, rce, json, autenticazione
descrizione
La vulnerabilità CVE-2026-32710 in MariaDB Server interessa la funzione JSON_SCHEMA_VALID e permette a un utente autenticato di causare un crash del server, generando una condizione di denial of service (DoS). In scenari particolari, con controllo preciso del layout di memoria, è teoricamente possibile una remote code execution (RCE), anche se il vendor la considera poco realistica fuori da ambienti di laboratorio.Le versioni impattate sono MariaDB 11.4 precedenti alla 11.4.10 e 11.8 precedenti alla 11.8.6. Il difetto è associato alla validazione JSON e può essere raggiunto tramite input applicativi.
note
La vulnerabilità richiede autenticazione e sfrutta la funzione JSON_SCHEMA_VALID, potenzialmente accessibile tramite input applicativi o da utenti autenticati. Il rischio è elevato in ambienti dove applicazioni terze o utenti possono inviare dati non completamente affidabili al database. Il vendor segnala che la possibilità di esecuzione di codice remoto è teorica e più plausibile in laboratorio, ma non può essere esclusa del tutto. Non risultano exploit pubblici o casi di sfruttamento attivo al momento. Si raccomanda l'aggiornamento alle versioni 11.4.10 o 11.8.6 o successive. Monitorare i log per crash anomali del server e valutare la restrizione dell'accesso alle funzioni JSON per utenti non strettamente necessari. Priorità tecnica medio-alta/elevata.CVE
| CVE | CVSS-3.1 | CVSS-4.0 | EPSS |
|---|---|---|---|
| CVE-2026-32710 | 8.5 | -- | 0.258% | 49.14% |
tipi di attacco
| CWE | descrizione |
|---|---|
| CWE-122 | Heap-based Buffer Overflow |
prodotti impattati
| vendor | prodotto & versioni |
|---|---|
| mariadb | server
|