PT-2021-14481 · Syncthing+2 · Syncthing+2

Wojciech Paciorek

·

Publicado

2021-04-06

·

Atualizado

2024-08-21

·

CVE-2021-21404

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
Versões do Syncthing anteriores à 1.15.0
Descrição
A vulnerabilidade permite que um servidor de retransmissão malicioso provoque a falha do Syncthing ao enviar uma mensagem de protocolo de retransmissão malformada com um campo de comprimento negativo. Da mesma forma, o servidor de retransmissão strelaysrv pode travar ao receber tal mensagem. Isso pode ocorrer quando o Syncthing tenta se conectar a um servidor de retransmissão e recebe uma mensagem malformada. Observa-se que dados confidenciais não são expostos devido a essa falha, e o Syncthing precisaria estar conectado a um servidor de retransmissão malicioso para que a falha fosse explorada.
Recomendações
Para versões do Syncthing anteriores à 1.15.0, atualize para a versão 1.15.0 para resolver o problema.
Como solução alternativa temporária, considere configurar o Syncthing para não usar relés ou para usar apenas relés específicos e confiáveis, a fim de minimizar o risco de exploração.

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALT-PU-2021-2071
ALT-PU-2021-2113
ALT-PU-2024-3833
BIT-SYNCTHING-2021-21404
CVE-2021-21404
GHSA-X462-89PF-6R5H
GO-2022-0888
OPENSUSE-SU-2021:0688-1
OPENSUSE-SU-2021:0713-1
OPENSUSE-SU-2021_0688-1
OPENSUSE-SU-2024:11417-1

Produtos afetados

Alt Linux
Suse
Syncthing