PT-2021-6514 · Tcl+3 · Tcl+3

Salmonx

·

Publicado

2021-05-07

·

Atualizado

2025-08-12

·

CVE-2021-35331

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
Tcl versão 8.6.11
Descrição
Uma vulnerabilidade de string de formato no componente nmakehlp.c da linguagem de programação Tcl pode permitir a execução de código por meio de um arquivo malicioso. Esse problema está relacionado ao processamento insuficiente de strings de formato, o que poderia permitir que um invasor remoto acessasse dados confidenciais, comprometesse sua integridade e causasse uma negação de serviço usando um arquivo especialmente criado. Observe que vários terceiros contestam a importância dessa descoberta.
Recomendações
Para a versão 8.6.11 do Tcl, como solução temporária, considere restringir o acesso ao componente nmakehlp.c até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Use of Externally-Controlled Format String

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-134

Identificadores relacionados

ALT-PU-2021-3242
ALT-PU-2024-9046
BDU:2022-01774
CVE-2021-35331
ECHO-CD9D-2394-E10E
OESA-2022-1720
ROSA-SA-2024-2541
SUSE-FU-2022:0484-1
SUSE-FU-2022:0868-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Tcl