PT-2021-6505 · Libpff · Libpff
Hongxuchen
·
Publicado
2021-08-19
·
Atualizado
2021-08-23
·
CVE-2020-18897
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Libpff anteriores à 20180623
Descrição
O problema está relacionado a uma vulnerabilidade do tipo “use-after-free” na função
libpff item tree create node, que permite que invasores causem uma negação de serviço ou executem código arbitrário por meio de um arquivo pff malicioso. Essa vulnerabilidade também pode levar ao acesso não autorizado a dados confidenciais e à violação da integridade dos dados.Recomendações
Para versões anteriores a 20180623, atualize para uma versão lançada após 20180623 para resolver o problema. Como solução temporária, considere restringir o uso da função
libpff item tree create node até que um patch esteja disponível. Evite usar arquivos pff criados especificamente para minimizar o risco de exploração.Exploit
Correção
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Libpff