Feng Ning

**Nome do Software Vulnerável e Versões Afetadas** agl-service-can-low-level (versões afetadas não especificadas) **Descrição** Um estouro de buffer de pilha (stack buffer overflow) existe na biblioteca uds-c. A função `send diagnostic request()` em uds.c aloca um buffer de pilha de 6 bytes, mas copia até 7 bytes via memcpy em um deslocamento de 1+pid length (2-3 bytes), permitindo um estouro de pilha controlado de 1 a 4 bytes. Isso ocorre porque a variável `payload length` não possui uma verificação de limites em relação ao buffer de destino. Em ECUs automotivas ARM de 32 bits sem canários de pilha (mecanismos de segurança que detectam estouros de buffer de pilha), isso pode levar à sobrescrita do endereço de retorno e execução remota de código. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** hashcat versão 7.1.2 **Descrição** Ocorre um estouro de buffer baseado em pilha (stack-based buffer overflow) nas funções `mangle to hex lower()` e `mangle to hex upper()` em `src/rp cpu.c`. Este problema é causado por uma verificação de limites que não considera a expansão de 2x que ocorre quando os bytes da senha são convertidos para hexadecimal. Um invasor pode explorar isso por meio de um arquivo de regras manipulado ou ao usar as opções de regra `-j` ou `-k` com candidatos a senha de 128 caracteres ou mais, podendo causar a negação de serviço ou a execução de código arbitrário. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** hashcat versão 7.1.2 **Descrição** Um estouro de buffer baseado em heap existe no analisador de hash Kerberos. O problema ocorre na função `module hash decode()` em vários módulos relacionados ao Kerberos. Isso é causado pela variável `account info len` ser calculada a partir de posições de delimitadores não confiáveis sem validação de limite superior antes que os dados sejam copiados para um buffer `account info` de tamanho fixo usando `memcpy()`. Isso pode levar a uma negação de serviço ou à execução de código arbitrário ao processar um arquivo de hash Kerberos especialmente criado. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Open CASCADE Technology (OCCT) versão V8 0 0 rc5 **Descrição** Uma leitura fora dos limites baseada em heap no analisador de arquivos OBJ ocorre na função `RWObj Reader::read`. Isso acontece porque `Standard ReadLineBuffer::ReadLine()` pode retornar um buffer de 1 byte para uma linha OBJ mínima, e `RWObj Reader::read()` subsequentemente chama `pushIndices(aLine + 2)` sem validar o comprimento do buffer. Atacantes assistidos pelo usuário podem explorar isso persuadindo uma vítima a abrir um arquivo OBJ especialmente criado, levando potencialmente a uma negação de serviço ou à divulgação de informações sensíveis. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Open CASCADE Technology (OCCT) versão V8 0 0 rc5 **Descrição** Uma falha no analisador VRML V2.0 permite que invasores causem a negação de serviço por meio de um arquivo VRML especialmente elaborado. O problema ocorre na função `VrmlData IndexedFaceSet::TShape` na biblioteca `libTKDEVRML.so`, onde entradas malformadas podem disparar a desreferência de um ponteiro corrompido ou não validado durante a construção da forma. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Open CASCADE Technology (OCCT) versão V8 0 0 rc5 **Descrição** Uma leitura fora dos limites (out-of-bounds read) no analisador VRML ocorre na função `VrmlData IndexedLineSet::TShape`. Este problema permite que invasores causem a negação de serviço por meio de um arquivo VRML manipulado. A falha existe porque os valores de `coordIndex` da entrada analisada são usados como índices diretos de matriz sem serem validados em relação ao tamanho da matriz de coordenadas durante o processamento de geometria. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Open CASCADE Technology (OCCT) versão V8 0 0 rc5 **Descrição** Uma leitura fora dos limites baseada em pilha no analisador VRML ocorre na função `VrmlData Scene::ReadLine()`. O manipulador de escape de strings entre aspas utiliza `ptr[++anOffset]` sem a verificação de limites adequada, o que pode levar à leitura de dados além do final de um buffer de pilha de tamanho fixo. Isso pode ser explorado por um invasor usando um arquivo VRML especialmente criado para causar a negação de serviço. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Open CASCADE Technology (OCCT) versão V8 0 0 rc5 **Descrição** Diversos problemas existem nos analisadores de arquivos IGES e STEP que podem ser acionados por arquivos manipulados. Estes incluem uma leitura fora dos limites (leitura de dados fora da fronteira pretendida de um buffer) na função `Geom2d BSplineCurve::EvalD0` durante a avaliação de curvas B-spline IGES, uma leitura fora dos limites na função `MakeBSplineCurveCommon` durante a construção de curvas B-spline STEP e recursão infinita (uma função que chama a si mesma sem uma condição de término) na função `StepShape OrientedEdge::EdgeStart` ao processar uma entidade OrientedEdge autorreferencial. A exploração pode resultar em negação de serviço ou divulgação não intencional de memória. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** agl-service-can-low-level versões anteriores a 17.1.12 **Descrição** Um estouro de buffer de pilha (stack buffer overflow) existe na biblioteca uds-c. A função `send diagnostic request()` em uds.c aloca um buffer de pilha de 6 bytes, mas copia até 7 bytes via memcpy em um deslocamento de 1+pid length, permitindo um estouro de pilha controlado de 1 a 4 bytes. Isso ocorre porque a variável `payload length` não possui uma verificação de limites em relação ao buffer de destino. Em ECUs automotivas ARM de 32 bits sem canários de pilha (mecanismos de segurança que detectam estouros de buffer de pilha), isso pode levar à sobrescrita do endereço de retorno e à execução remota de código (RCE). **Recomendações** Atualize para a versão 17.1.12 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** AGL app-framework-main versões 17.1.12 e anteriores **Descrição** Um problema de travessia de caminho Zip Slip combinado com uma condição de corrida de Tempo de Verificação ao Tempo de Uso (TOCTOU) existe no fluxo de instalação de widgets. A função `is valid filename()` em `wgtpkg-zip.c` não verifica sequências de travessia de diretório por notação de ponto, bloqueando apenas caminhos absolutos. Consequentemente, a função de extração `zread()` utiliza `openat(workdirfd, filename, O CREAT)`, que resolve a notação de ponto em relação ao diretório de trabalho, permitindo que arquivos sejam gravados em qualquer lugar do sistema de arquivos. Na função `install widget()` no arquivo `wgtpkg-install.c`, a extração via `zread()` ocorre antes da verificação de assinatura via `check all signatures()`. Mesmo que a verificação de assinatura falhe, o processo de limpeza `remove workdir()` exclui apenas o diretório de trabalho temporário, fazendo com que arquivos gravados fora desse diretório via travessia de caminho persistam permanentemente no sistema. **Recomendações** Atualize para uma versão posterior à 17.1.12. Como medida paliativa temporária, restrinja as permissões de gravação no sistema de arquivos para minimizar o risco de gravações arbitrárias de arquivos durante a instalação de widgets.

**Nome do Software Vulnerável e Versões Afetadas** AGL agl-service-can-low-level versões anteriores a 17.1.12 **Descrição** Existe um over-read de buffer de heap na biblioteca isotp-c. Na função `isotp continue receive()`, o `payload length` para um Single Frame é extraído de um nibble de 4 bits nos dados do quadro CAN, resultando em valores de 0 a 15. Como um quadro CAN padrão possui apenas 8 bytes e o payload começa em `data[1]`, apenas 7 bytes estão disponíveis. Quando o `payload length` excede os dados disponíveis, a função `memcpy()` lê até 8 bytes além do final do buffer de dados. **Recomendações** Atualize para uma versão posterior a 17.1.12.

**Nome do Software Vulnerável e Versões Afetadas** Open-SAE-J1939 versões anteriores ao commit b6caf884df46435e539b1ecbf92b6c29b345bdfe **Descrição** Um underflow de número inteiro existe na função `SAE J1939 Read Transport Protocol Data Transfer()`. Isso permite que atacantes escrevam em memória arbitrária usando um número de sequência manipulado a partir do quadro CAN. **Recomendações** Atualize para uma versão que contenha o commit b6caf884df46435e539b1ecbf92b6c29b345bdfe.

**Nome do Software Vulnerável e Versões Afetadas** openxc/isotp-c versões anteriores ao commit 5a5d19245f65189202719321facd49ce6f5d46ac **Descrição** Existe uma leitura fora dos limites (out-of-bounds read) no manipulador de recebimento de Quadro Único ISO-TP. O problema ocorre porque o nibble de comprimento de carga útil de 4 bits é usado diretamente como o tamanho do `memcpy` sem validação em relação ao comprimento real dos dados CAN. Um quadro CAN malicioso com um nibble de comprimento excessivo pode disparar leituras de memória além do buffer, potencialmente levando a uma negação de serviço ou à exposição de informações sensíveis. **Recomendações** Atualize para uma versão do openxc/isotp-c lançada após o commit 5a5d19245f65189202719321facd49ce6f5d46ac.

**Nome do Software Vulnerável e Versões Afetadas** miaofng/uds-c versões anteriores ao commit e506334e270d77b20c0bc259ac6c7d8c9b702b7a **Descrição** Um estouro de buffer de pilha (stack buffer overflow) existe na função `send diagnostic request()`. O problema ocorre porque um buffer de pilha de 6 bytes, definido por `MAX DIAGNOSTIC PAYLOAD SIZE`, recebe uma operação `memcpy` com `payload length` bytes em um deslocamento de 1 mais `pid length`. Como o `MAX UDS REQUEST PAYLOAD LENGTH` é 7, o tamanho total pode chegar a 10 bytes, excedendo o buffer em 4 bytes devido à falta de verificação de limites no `payload length` antes da cópia de memória. **Recomendações** Atualize para uma versão que inclua a correção implementada no commit e506334e270d77b20c0bc259ac6c7d8c9b702b7a.

**Nome do Software Vulnerável e Versões Afetadas** collin80/Open-SAE-J1939 versões anteriores ao commit 744024d4306bc387857dfce439558336806acb06 **Description** Um underflow de número inteiro existe no processamento de Transferência de Dados do Protocolo de Transporte. Quando o número de sequência de um quadro CAN, representado pela variável `data[0]`, é 0, a variável `index` sofre underflow para 255. Isso leva a uma gravação fora dos limites (out-of-bounds write), onde os dados são gravados em um deslocamento de 1791, excedendo o buffer `MAX TP DT` de 1785 bytes em 6 bytes. **Recommendations** Atualize para uma versão que contenha o commit 744024d4306bc387857dfce439558336806acb06 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** socketcand versão 0.4.2 **Descrição** Ocorre um estouro de buffer na função `main()` dentro do arquivo `socketcand.c`. Este problema permite que atacantes causem a negação de serviço ou outros impactos não especificados ao utilizar a variável `bus name` manipulada. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** OpenAMP versão 2025.10.0 **Descrição** O carregador ELF contém um estouro de número inteiro (integer overflow) durante a análise de imagem de firmware. No arquivo `elf loader.c`, o sistema realiza a multiplicação de dois valores de 16 bits controlados por um invasor a partir do cabeçalho ELF sem realizar verificações de estouro. Em sistemas embarcados de 32 bits, como STM32MP1, Zynq e i.MX, valores grandes podem fazer com que o produto resultante retorne a um valor pequeno (wrap around). **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Open Vehicle Monitoring System 3 (OVMS3) versão 3.3.005 **Descrição** Um estouro de buffer existe no arquivo `canformat gvret.cpp`. O campo de comprimento nos dados binários GVRET não é validado adequadamente, o que permite que atacantes remotos causem a negação de serviço ou potencialmente executem código arbitrário através do envio de quadros GVRET manipulados. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.

**Nome do Software Vulnerável e Versões Afetadas** Open-SAE-J1939 versões anteriores ao commit b6caf884df46435e539b1ecbf92b6c29b345bdfe **Descrição** Uma negação de serviço pode ser desencadeada por meio de um quadro CAN manipulado no barramento J1939 dentro da função `SAE J1939 Read Binary Data Transfer DM16()`. **Recomendações** Atualize para uma versão posterior ao commit b6caf884df46435e539b1ecbf92b6c29b345bdfe. Como medida paliativa temporária, considere restringir o acesso à função `SAE J1939 Read Binary Data Transfer DM16()` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Open Vehicle Monitoring System 3 (OVMS3) versão 3.3.005 **Descrição** Ocorre um estouro de buffer em `canformat pcap.cpp` porque o campo `phdr.len` do parser não é validado adequadamente. Isso permite que atacantes remotos causem a negação de serviço ou potencialmente executem código arbitrário por meio de entradas PCAP manipuladas. **Recomendações** No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.