CVE-2020-12460

**Nome do software vulnerável e versões afetadas:

OpenDMARC versões 1.3.2 e 1.4.x até 1.4.0-Beta1

Descrição:

O problema está relacionado à terminação nula incorreta na função opendmarc xml parse, o que pode resultar em um estouro de pilha de um byte na função opendmarc xml ao analisar um relatório agregado DMARC especialmente criado. Isso pode causar corrupção remota de memória quando um byte ‘0’ sobrescreve os metadados da pilha do próximo bloco e seu sinalizador PREV INUSE. A vulnerabilidade pode permitir que um invasor remoto execute código arbitrário no sistema alvo ao abrir um relatório agregado DMARC especialmente criado.

Recomendações:

Para as versões 1.3.2 e 1.4.x até 1.4.0-Beta1 do OpenDMARC, considere desativar a função opendmarc xml parse até que um patch esteja disponível para evitar corrupção remota de memória. Restrinja o acesso ao módulo opendmarc xml para minimizar o risco de exploração. Evite usar o módulo opendmarc xml para analisar relatórios agregados DMARC até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.