PT-2020-6760 · Apple+6 · Wpe Webkit+7

Publicado

2020-10-24

·

Atualizado

2024-06-15

·

CVE-2020-13584

CVSS v2.0

9.3

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
WebKitGTK versão 2.30.1
WPE WebKit (versões afetadas não especificadas)
Descrição
O problema está relacionado a uma condição de uso após liberação (use-after-free) nos módulos de navegador WebKitGTK e WPE WebKit. Isso pode ser desencadeado por uma página HTML especialmente criada, permitindo potencialmente que um invasor execute código arbitrário ou cause uma negação de serviço. A vítima deve visitar um site malicioso para explorar essa vulnerabilidade.
Recomendações
Para o WebKitGTK versão 2.30.1, considere restringir o acesso a sites potencialmente maliciosos até que uma correção esteja disponível.
Como solução temporária, evite usar o WebKitGTK versão 2.30.1 para acessar páginas da web não confiáveis.
Para o WPE WebKit, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

RCE

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

ALSA-2021:1586
ALT-PU-2020-3117
BDU:2022-06102
CESA-2021_1586
CVE-2020-13584
DSA-4797-1
DSA-4797-2
MGASA-2020-0441
OPENSUSE-SU-2020:2304-1
OPENSUSE-SU-2020:2310-1
OPENSUSE-SU-2020_2304-1
OPENSUSE-SU-2020_2310-1
OPENSUSE-SU-2024:11506-1
RHSA-2021:1586
RHSA-2021_1586
RHSA-2025:10364
RLSA-2021:1586
SUSE-SU-2020:3864-1
SUSE-SU-2020:3867-1
SUSE-SU-2021:1990-1

Produtos afetados

Alt Linux
Almalinux
Centos
Red Hat
Rocky Linux
Suse
Wpe Webkit
Webkitgtk