Oracle - CVE-2026-46860
Date de publication :
Il s'agit d'une vulnérabilité dans le composant Router: General de MySQL Router. Le service HTTP exposé par MySQL Router ne met pas en oeuvre de contrôle d'authentification sur certaines fonctions critiques accessibles via le réseau. Un attaquant non authentifié envoie des requêtes HTTP craftées directement vers le composant exposé sans interaction utilisateur. Elle permet la prise de contrôle complète de l'instance MySQL Router, avec impact total sur la confidentialité, l'intégrité et la disponibilité.
MySQL Router est un composant de routage et de proxy de connexions pour les architectures MySQL InnoDB Cluster et MySQL NDB Cluster. Il assure la redirection transparente des connexions clients vers les noeuds MySQL appropriés, la gestion du basculement automatique et l'équilibrage de charge dans les déploiements MySQL haute disponibilité.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Non
Exécution de code arbitraire (à distance)
Exploitation
CWE-306 : Missing Authentication for Critical Function
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
MySQL Router versions 9.0.0 jusqu'à 9.7.0