PT-2021-3973 · Hcc · Hcc Embedded Interniche
Publicado
2021-05-28
·
Atualizado
2021-08-26
·
CVE-2021-31226
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
HCC embedded InterNiche versão 4.0.1
Descrição
Existe um potencial estouro de buffer de heap no código que analisa a solicitação HTTP POST devido à falta de validação de tamanho. Este problema requer que um invasor envie uma solicitação HTTP POST manipulada com um URI maior que 50 bytes, levando a um estouro de heap em
wbs post() por meio de uma chamada strcpy(). A vulnerabilidade pode permitir que um invasor remoto execute código arbitrário explorando erros no tratamento de solicitações HTTP.Recomendações
Para o HCC com InterNiche incorporado versão 4.0.1, considere desativar a função
wbs post() como uma solução temporária até que um patch esteja disponível. Restrinja o acesso ao módulo de tratamento de solicitações HTTP POST para minimizar o risco de exploração. Evite usar URIs com mais de 50 bytes no endpoint da API afetado até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.Heap Based Buffer Overflow
RCE
Memory Corruption
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Hcc Embedded Interniche