PT-2020-17576 · Rust · Xcb

Publicado

2020-12-10

·

Atualizado

2021-08-25

·

CVE-2020-36205

CVSS v3.1

5.5

Média

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Crate xcb até 10/12/2020
Descrição
Foi descoberta uma falha no crate xcb para Rust. O tipo base::Error não possui segurança devido ao seu campo público ptr, o que pode levar a um erro de uso após liberação (use-after-free) ou liberação dupla (double-free). Isso ocorre porque o campo ptr pode ser manipulado para criar um base::Error com um ponteiro inválido, provocando erros de segurança de memória.
Recomendações
Para versões do crate xcb até 10/12/2020, recomenda-se que os usuários não manipulem o campo ptr do tipo base::Error para evitar erros de segurança de memória, como uso após liberação ou liberação dupla.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Double Free

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-415CWE-416

Identificadores relacionados

CVE-2020-36205
GHSA-C8HQ-X4MM-P6Q6
RUSTSEC-2020-0097

Produtos afetados

Xcb