PT-2021-23330 · Squirrel+1 · Squirrel+1
Niklas Breitfeld
+1
·
Publicado
2021-10-19
·
Atualizado
2024-06-15
·
CVE-2021-41556
CVSS v3.1
10
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões 2.2.5 e anteriores do Squirrel
Versões 3.x a 3.1 do Squirrel
Descrição
A vulnerabilidade permite uma leitura fora dos limites no interpretador principal, levando à execução de código. Se uma vítima executar um script Squirrel controlado pelo invasor, é possível que o invasor saia da sandbox do script Squirrel, mesmo que todas as funcionalidades perigosas, como as funções do sistema de arquivos, tenham sido desativadas. Um invasor pode explorar esse bug para atacar serviços em nuvem que permitem personalização por meio de scripts Squirrel ou distribuir malware por meio de videogames que incorporam um Squirrel Engine.
Recomendações
Para as versões 2.2.5 e anteriores do Squirrel, atualize para uma versão posterior à 2.2.5.
Para as versões 3.x a 3.1 do Squirrel, atualize para uma versão posterior à 3.1.
Como solução temporária, considere desativar a execução de scripts Squirrel de fontes não confiáveis até que um patch esteja disponível.
Restrinja o acesso ao Squirrel Engine para minimizar o risco de exploração.
Exploit
Correção
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Debian
Squirrel