16 июня 2026 года Oracle опубликовала бюллетень безопасности, в котором раскрыла подробности о восьми уязвимостях в продуктах семейства MySQL. Проблемы затронули MySQL Server, MySQL Router, MySQL Cluster, MySQL NDB Cluster и MySQL Shell. Семь из восьми уязвимостей имеют высокий или критический уровень опасности по шкале CVSS (Common Vulnerabilities and Exposures - общепринятые идентификаторы уязвимостей). Наиболее серьезные ошибки позволяют удаленно выполнить произвольный код без аутентификации. Исправления уже выпущены и доступны для загрузки.
Детали уязвимостей
Наибольший риск представляют три уязвимости, оцененные в 9,9, 9,8 и 9,6 балла. CVE-2026-46850 затрагивает компонент Shell for VS Code в MySQL Shell версии 2026.2.0+9.6.1. Для эксплуатации злоумышленнику достаточно низких привилегий и сетевого доступа по протоколу HTTP. В случае успешной атаки возможно полное перехват управления MySQL Shell с распространением воздействия на другие продукты (scope change - изменение границ влияния). Вектор атаки CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H подтверждает полноту компрометации конфиденциальности, целостности и доступности.
CVE-2026-46860 затрагивает MySQL Router версий с 9.0.0 по 9.7.0. Эта уязвимость не требует аутентификации - атака возможна через HTTP без входа в систему. Успешная эксплуатация приводит к захвату управления компонентом Router с теми же последствиями - раскрытие, модификация и потеря доступности данных. Оценка CVSS 9,8 по вектору (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) ставит ее в категорию критических.
CVE-2026-46861 поражает MySQL NDB Cluster (сетевую базу данных) в версиях от 8.0.11 до 9.7.0. Уязвимость также требует низких привилегий и доступа по HTTP. Она позволяет несанкционированно создавать, удалять или изменять любые данные в кластере, а также читать все доступные данные. Вектор CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N отражает серьезное нарушение конфиденциальности и целостности при сохранении доступности. Оценка 9,6 балла.
Отдельно стоят две уязвимости в MySQL Router и MySQL Server, приводящие к удаленному отказу в обслуживании (DoS - Denial of Service). CVE-2026-46862 затрагивает MySQL Router через протокол TLS, не требует аутентификации и позволяет вызвать зависание или повторяющийся сбой системы. Аналогичная CVE-2026-46863 поражает MySQL Server и MySQL Cluster через множественные протоколы и также ведет к полному отказу в обслуживании. Обе уязвимости получили 7,5 балла.
Остальные уязвимости (CVE-2026-46869, CVE-2026-46870, CVE-2026-46871) среднего и высокого уровня затронули MySQL Shell. Они допускают несанкционированное чтение критических данных (CVE-2026-46869 и CVE-2026-46871) или полный захват при сложных условиях эксплуатации (CVE-2026-46870). Все они поддаются исправлению через обновление компонентов Shell.
“Уязвимости были обнаружены в ходе внутреннего аудита Oracle,” - говорится в сообщении компании. Патчи интегрированы в обновления критических обновлений (Critical Patch Update) за июнь 2026 года. Полный список исправленных версий опубликован на сайте Oracle.
Широта затронутых версий вызывает особое беспокойство. Проблемы охватывают все основные ветки разработки (8.0, 8.4, 9.0) вплоть до 9.7.0. Это означает, что большинство текущих инсталляций MySQL в производственных средах, кластерных конфигурациях и инструментах разработки (MySQL Shell) остаются под угрозой до установки патчей. Учитывая, что многие компании используют MySQL в качестве основного хранилища данных, риск утечки или потери данных при игнорировании обновлений крайне высок.
Векторы атак через HTTP и TLS делают уязвимости доступными для удаленной эксплуатации, в том числе через интернет. Наличие уязвимостей без аутентификации (CVE-2026-46860, CVE-2026-46862, CVE-2026-46863) упрощает их использование злоумышленниками с любым уровнем подготовки. Особенно опасна ситуация, когда MySQL Router используется в качестве шлюза к кластеру - захват Router дает доступ к данным всего пула серверов.
Администраторам и владельцам инфраструктуры необходимо как можно быстрее обновить все затронутые компоненты: MySQL Server, MySQL Router, MySQL Cluster (включая NDB), MySQL Shell и его модули для VS Code. Рекомендуется следовать бюллетеню Oracle и применять патчи до того, как уязвимости будут использованы в реальных атаках. Без обновления системы остаются открытыми для удаленного выполнения кода, атак на отказ в обслуживании и утечки конфиденциальных данных.
Ссылки
