PT-2020-6199 · Json-C+10 · Json-C+10
Tobias Stoeckmann
·
Publicado
2020-05-02
·
Atualizado
2025-11-03
·
CVE-2020-12762
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 0.14 e anteriores do json-c
Descrição
A vulnerabilidade está relacionada a um estouro de inteiro e a uma gravação fora dos limites no json-c, que podem ser desencadeados por um arquivo JSON de grande porte. Isso pode ser demonstrado pela função
printbuf memappend. A exploração dessa vulnerabilidade permite que um invasor remoto acesse dados confidenciais, comprometa a integridade dos dados e cause uma negação de serviço.Recomendações
Para as versões 0.14 e anteriores do json-c, considere atualizar para uma versão que corrija o problema de estouro de inteiro e gravação fora dos limites. Como solução temporária, considere restringir o tamanho dos arquivos JSON que podem ser processados para evitar a exploração. Além disso, restrinja o acesso a dados confidenciais e implemente medidas para prevenir ataques de negação de serviço até que um patch esteja disponível.
Exploit
Correção
Memory Corruption
Integer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu
Json-C