PT-2021-11073 · Zcfees · Zcfees
Publicado
2021-02-10
·
Atualizado
2021-02-17
·
CVE-2020-24837
CVSS v2.0
5.0
Média
| Vetor | AV:N/AC:L/Au:N/C:N/I:P/A:N |
**Nome do software vulnerável e versões afetadas:
ZCFees versão mais recente
Descrição:
Foi identificada uma falha de subfluxo de inteiros envolvendo as variáveis
currPeriodIdx e lastPeriodExecIdx, que são inteiros sem sinal. O resultado da operação de subtração entre essas variáveis pode gerar um inteiro negativo, levando a um subfluxo. Os invasores podem potencialmente modificar o carimbo de data/hora da transação atual, bloqueando assim a execução da função de processo.Recomendações:
Para a versão mais recente do ZCFees, considere restringir o acesso à função de processo até que um patch esteja disponível para impedir a exploração do problema de subfluxo de inteiros. Como solução alternativa temporária, evite usar as variáveis
currPeriodIdx e lastPeriodExecIdx em transações que possam levar a condições de subfluxo.Correção
Integer Underflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Zcfees