PT-2021-24289 · Rusqlite · Rusqlite

Publicado

2021-12-07

·

Atualizado

2022-06-17

·

CVE-2021-45715

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
**Nome do software vulnerável e versões afetadas:
versões do rusqlite 0.25.0 a 0.25.3
versões do rusqlite 0.26.0 a 0.26.1
Descrição:
O problema está relacionado a várias funções que aceitam closures no crate rusqlite, as quais possuem um limite de tempo de vida muito flexível. Isso pode permitir que o código Rust acesse objetos na pilha após eles terem sido descartados, resultando em um problema de uso após liberação (use-after-free). As funções afetadas incluem create scalar function, create aggregate function, create window function, commit hook, rollback hook, update hook e create collation.
Recomendações:
Para as versões 0.25.0 a 0.25.3 do rusqlite, atualize para a versão 0.25.4 ou mais recente.
Para as versões 0.26.0 a 0.26.1 do rusqlite, atualize para a versão 0.26.2 ou mais recente.

Exploit

Correção

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

CVE-2021-45715
GHSA-4QR3-M7WW-HH9G
GHSA-87XH-9Q6H-R5CC
GHSA-92CX-4XM7-JR9M
GHSA-CM8G-544F-P9X9
GHSA-F6F2-3W33-54R9
GHSA-G4G4-3PQW-8M7F
GHSA-G87R-23VW-7F87
GHSA-Q89G-4VHH-MVVM
RUSTSEC-2021-0128

Produtos afetados

Rusqlite