PT-2021-24287 · Rusqlite · Rusqlite

Publicado

2021-12-07

·

Atualizado

2022-06-17

·

CVE-2021-45713

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
**Nome do software vulnerável e versões afetadas:
versões do rusqlite 0.25.0 a 0.25.3
versões do rusqlite 0.26.0 a 0.26.1
Descrição:
O problema está relacionado ao fato de várias funções do rusqlite que aceitam closures terem limites de tempo de vida muito flexíveis, o que poderia permitir que o código Rust acessasse objetos na pilha após eles terem sido descartados. As funções afetadas incluem create scalar function, create aggregate function, create window function, commit hook, rollback hook, update hook e create collation.
Recomendações:
Para as versões 0.25.0 a 0.25.3 do rusqlite, atualize para a versão 0.25.4 ou mais recente.
Para as versões 0.26.0 a 0.26.1 do rusqlite, atualize para a versão 0.26.2 ou mais recente.
Como solução temporária, considere desativar o uso das funções afetadas até que um patch esteja disponível.
Restrinja o acesso às funções vulneráveis para minimizar o risco de exploração.

Exploit

Correção

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

CVE-2021-45713
GHSA-4QR3-M7WW-HH9G
GHSA-87XH-9Q6H-R5CC
GHSA-92CX-4XM7-JR9M
GHSA-CM8G-544F-P9X9
GHSA-F6F2-3W33-54R9
GHSA-G4G4-3PQW-8M7F
GHSA-G87R-23VW-7F87
GHSA-Q89G-4VHH-MVVM
RUSTSEC-2021-0128

Produtos afetados

Rusqlite