資安快訊：今日重要 CVE（2026-06-17）

今日重點：兩則高嚴重度 MariaDB 相關漏洞需要開發者優先處理，分別影響特定 Windows MariaDB Server 設定，以及使用 MariaDB Connector/C 搭配 Big5 字元集的應用程式。

CVE-2026-44170（嚴重度 CVSS 9.8）

影響

這個漏洞影響 MariaDB Server。受影響版本包含：

• 10.6.1 到 10.6.25
• 10.11.1 到 10.11.16
• 11.4.1 到 11.4.10
• 11.8.1 到 11.8.6
• 12.3.1

條件是：MariaDB 跑在 Windows 上，已安裝 CONNECT engine，並且啟用了 REST support。漏洞原因是 table 的 HTTP attribute 被放進 curl command line 時沒有正確清理，可能讓使用者在伺服器上執行 shell commands。

該做什麼

如果你有在 Windows 上使用 MariaDB，請檢查是否安裝 CONNECT engine 並啟用 REST support。受影響版本應升級到已修補版本：

• 10.6.26
• 10.11.17
• 11.4.11
• 11.8.7
• 12.3.2

CVE-2026-44172（嚴重度 CVSS 9.8）

影響

這個漏洞影響 MariaDB Connector/C 版本 3.3.18 和 3.4.8。

如果你的應用程式接收未驗證的使用者輸入，使用 mysql_real_escape_string() 處理後，再透過 text protocol 和 Big5 character set 送到資料庫，仍可能受到 SQL injection 影響。也就是說，即使程式以為 mysql_real_escape_string() 已經防住 SQL injection，在這些版本與條件下仍可能不安全。

該做什麼

如果你的專案使用 MariaDB Connector/C，請檢查版本。受影響版本應升級到已修補版本：

• 3.3.19
• 3.4.9

同時，如果你的應用程式有使用 Big5 character set，應優先確認資料庫連線與輸入處理方式是否落在上述條件內。

資料來源：NVD

• CVE-2026-44170：https://nvd.nist.gov/vuln/detail/CVE-2026-44170
• CVE-2026-44172：https://nvd.nist.gov/vuln/detail/CVE-2026-44172