PT-2021-23606 · Busybox+3 · Busybox+3

Publicado

2021-11-09

·

Atualizado

2025-04-30

·

CVE-2021-42377

CVSS v2.0

10

Crítica

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Busybox (versões afetadas não especificadas)
Descrição
O problema decorre de uma liberação de ponteiro controlada por um invasor no applet hush do Busybox, levando a uma negação de serviço e à possível execução de código quando um comando shell malicioso é processado. Isso se deve ao tratamento incorreto da string &&& pelo shell, permitindo potencialmente a execução remota de código em condições raras de entrada de comando filtrada.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

DoS

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-763CWE-590

Identificadores relacionados

BDU:2025-05993
CVE-2021-42377
MGASA-2021-0533
OPENSUSE-SU-2022:0135-1
OPENSUSE-SU-2022_0135-1
OPENSUSE-SU-2022_3959-1
OPENSUSE-SU-2024:11738-1
SUSE-SU-2022:0135-1
SUSE-SU-2022:0135-2
SUSE-SU-2022:3959-1
SUSE-SU-2022:4253-1

Produtos afetados

Busybox
Debian
Red Os
Suse