PT-2020-17640 · Rust · Dces Crate

Publicado

2020-12-09

Atualizado

2021-08-25

CVE-2020-36459

CVSS v3.1

8.1

Alta

Vetor

AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Nome do software vulnerável e versões afetadas

Versões do crate dces até 09/12/2020

Descrição

Foi descoberta uma falha no crate dces em que o tipo World está marcado como Send, mas não possui limites em seus EntityStore e ComponentStore. Isso permite que EntityStore e ComponentStores não seguros para threads sejam enviados entre threads e causem disputas de dados.

Recomendações

Para versões até 09/12/2020, considere restringir o uso do tipo World para impedir o envio de EntityStore e ComponentStores não seguros para threads entre threads até que um patch esteja disponível.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Command Injection

Race Condition

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-77CWE-362

Identificadores relacionados

CVE-2020-36459

GHSA-HXW9-JXQW-JC8J

RUSTSEC-2020-0139

Produtos afetados

Dces Crate

PT-2020-17640 · Rust · Dces Crate

CVE-2020-36459

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 10