В версии сервера MariaDB до 11.8.5, когда плагин аудита сервера включен с переменной server_audit_events, настроенной с фильтрацией QUERY_DCL, QUERY_DDL или QUERY_DML, если аутентифицированный пользователь базы данных вызывает оператор SQL с префиксом комментариев в виде двойного дефиса (—) или решетки (#), оператор не регистрируется.
Показать оригинальное описание (EN)
In MariaDB server version through 11.8.5, when server audit plugin is enabled with server_audit_events variable configured with QUERY_DCL, QUERY_DDL, or QUERY_DML filtering, if an authenticated database user invokes a SQL statement prefixed with double-hyphen (—) or hash (#) style comments, the statement is not logged.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0