PT-2020-6263 · Lua+8 · Lua+8

Yongheng Chen

·

Publicado

2020-07-24

·

Atualizado

2025-08-18

·

CVE-2020-24370

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Nome do software vulnerável e versões afetadas
Lua versão 5.4.0
Descrição
O problema está relacionado a um estouro de inteiro no componente ldebug.c do interpretador de scripts Lua. Isso pode ser explorado por um invasor remoto para causar uma negação de serviço. A vulnerabilidade é demonstrada pela chamada da função getlocal(3,2^31), que pode levar a um estouro de negação e falha de segmentação nas funções getlocal e setlocal.
Recomendações
Para a versão 5.4.0 do Lua, considere desativar as funções getlocal e setlocal no componente ldebug.c como uma solução temporária até que um patch esteja disponível. Restrinja o acesso a essas funções para minimizar o risco de exploração. Evite usar a função getlocal com valores de entrada grandes, como 2^31, até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

DoS

Integer Underflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-191

Identificadores relacionados

ALSA-2021:4510
ALT-PU-2025-10165
AZL-41149
BDU:2021-03735
BIT-LUA-2020-24370
CESA-2021_4510
CVE-2020-24370
DLA-2381-1
DLA-3469-1
MGASA-2020-0362
OESA-2024-2169
OESA-2025-1278
OESA-2025-1279
OESA-2025-1280
OESA-2025-1281
OESA-2025-1301
OPENSUSE-SU-2021:0962-1
OPENSUSE-SU-2021:2196-1
OPENSUSE-SU-2021_0962-1
OPENSUSE-SU-2021_2196-1
OPENSUSE-SU-2024:11028-1
OPENSUSE-SU-2024:11029-1
OPENSUSE-SU-2025:15401-1
RHSA-2021:4510
RHSA-2021_4510
RLSA-2021:4510
SUSE-SU-2021:2196-1
SUSE-SU-2021_2196-1

Produtos afetados

Alt Linux
Almalinux
Astra Linux
Centos
Lua
Red Hat
Red Os
Rocky Linux
Suse