PT-2021-24266 · Unknown · Messagepack-Rs

Publicado

2021-01-26

·

Atualizado

2022-06-17

·

CVE-2021-45692

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
**Nome do software vulnerável e versões afetadas:
crate messagepack-rs até 26/01/2021
Descrição:
A vulnerabilidade no crate messagepack-rs permite que funções como deserialize binary, deserialize string, deserialize extension others e deserialize string primitive leiam de locais de memória não inicializados. Isso pode fazer com que implementações seguras de Read leiam do buffer não inicializado, levando a um comportamento indefinido.
Recomendações:
Para o crate messagepack-rs até 26/01/2021, considere desativar as funções deserialize binary, deserialize string, deserialize extension others e deserialize string primitive até que um patch esteja disponível para impedir a leitura de locais de memória não inicializados. Restrinja o acesso a essas funções para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Use of Uninitialized Resource

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-908

Identificadores relacionados

CVE-2021-45692
GHSA-HR52-F9VP-582C
GHSA-JQJJ-R4QP-X2GH
GHSA-JWFH-J623-M97H
GHSA-M325-RXJV-PWPH
GHSA-VW5M-QW2R-M923
RUSTSEC-2021-0092

Produtos afetados

Messagepack-Rs