D3Zd3Z

**Nome do software vulnerável e versões afetadas** MCUboot (versões afetadas não especificadas) **Descrição** A vulnerabilidade diz respeito ao MCUboot, um bootloader seguro para microcontroladores de 32 bits, que utiliza uma estrutura TLV (tag-length-value) para representar os metadados da imagem. Essa estrutura é dividida em seções protegidas e desprotegidas, com entradas TLV protegidas incluídas na assinatura da imagem para impedir adulterações. No entanto, o código não consegue distinguir entre entradas TLV que deveriam ser protegidas e aquelas que não deveriam, permitindo que um invasor adicione entradas TLV desprotegidas que deveriam ser protegidas. As principais entradas TLV protegidas incluem a indicação de dependência e o registro de inicialização. Um invasor poderia injetar um valor de dependência, fazendo com que uma imagem que, de outra forma, seria aceitável fosse rejeitada, ou injetar um registro de inicialização, permitindo potencialmente que uma imagem pareça ter propriedades que não deveria ter. **Recomendações** Como solução temporária, considere desativar a funcionalidade do registro de inicialização até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões 2.4.0 e posteriores do Zephyr **Descrição** O problema está relacionado a um subfluxo de inteiros na remoção do cabeçalho de remontagem de fragmentos IEEE 802154 do Zephyr, o que pode levar a um estouro de buffer. Isso é classificado como um estouro de inteiro para estouro de buffer, CWE-680. **Recomendações** Para as versões 2.4.0 e posteriores do Zephyr, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Zephyr >= v2.5.0 **Descrição** Existe uma vulnerabilidade de estouro de buffer no Zephyr USB DFU DNLOAD, especificamente um estouro de buffer baseado em heap (CWE-122). **Recomendações** Para versões do Zephyr >= v2.5.0, considere desativar a funcionalidade USB DFU DNLOAD até que uma correção esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Zephyr versões 1.14.2 e posteriores, 2.3.0 e posteriores **Descrição** O problema diz respeito a uma possível leitura fora dos limites na função dns read, classificada como uma “Out-of-bounds Read”. **Recomendações** Para as versões 1.14.2 e posteriores, e 2.3.0 e posteriores do Zephyr, no momento não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.