CVE-2020-35899

Versões do crate actix-service anteriores à 1.0.6

O problema decorre de uma implementação personalizada de uma primitiva Cell nas versões afetadas do crate actix-service, que não consegue rastrear referências mutáveis aos dados subjacentes. Essa falha permite a obtenção de múltiplas referências mutáveis ao mesmo objeto, resultando potencialmente em corrupção arbitrária de memória, provavelmente do tipo use-after-free. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Para versões anteriores à 1.0.6, atualize para a versão 1.0.6 ou posterior, que corrige a falha ao mudar de uma implementação personalizada de Cell<T> para Rc<RefCell<T>>.