PT-2021-21062 · Mbsync+2 · Mbsync+2

Lukas Braun

Publicado

2021-06-07

Atualizado

2024-08-08

CVE-2021-3578

CVSS v3.1

7.8

Alta

Vetor

AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

**Nome do software vulnerável e versões afetadas:

Versões do mbsync anteriores à 1.3.6

Versões do mbsync anteriores à 1.4.2

Descrição:

Foi identificada uma falha no mbsync em que uma conversão de ponteiro não verificada permite que um servidor malicioso ou comprometido grave um valor inteiro arbitrário além do fim de uma estrutura alocada na pilha, emitindo uma resposta APPENDUID inesperada. Isso poderia ser explorado para a execução remota de código no cliente.

Recomendações:

Para versões anteriores à 1.3.6, atualize para a versão 1.3.6 ou posterior.

Para versões anteriores à 1.4.2, atualize para a versão 1.4.2 ou posterior.

Correção

RCE

Incorrect Type Conversion or Cast

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-704

Identificadores relacionados

ALT-PU-2024-10502

ALT-PU-2024-10800

CVE-2021-3578

DLA-3066-1

OPENSUSE-SU-2021:1170-1

OPENSUSE-SU-2021:1185-1

OPENSUSE-SU-2021_1170-1

OPENSUSE-SU-2024:10866-1

Produtos afetados

Alt Linux

Suse

Mbsync

PT-2021-21062 · Mbsync+2 · Mbsync+2

CVE-2021-3578

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 27