PT-2021-7306 · Gajim+1 · Gajim+1

Valdikss

·

Publicado

2021-10-10

·

Atualizado

2024-06-15

·

CVE-2021-41055

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do Gajim 1.2.x a 1.3.2
Descrição
O problema está relacionado à validação insuficiente de entradas ao verificar IDs de mensagens em bate-papos com vários usuários, especificamente com a extensão XEP-0308 Last Message Correction. Isso permite que invasores remotos causem uma negação de serviço (falha) por meio de uma mensagem XMPP maliciosa em que o ID da mensagem é igual ao ID de correção.
Recomendações
Para as versões 1.2.x a 1.3.2 do Gajim, atualize para a versão 1.3.3 ou posterior para resolver o problema.
Como solução temporária, considere desativar a extensão XEP-0308 Last Message Correction no chat multiusuário até que um patch esteja disponível.

Exploit

Correção

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20

Identificadores relacionados

ALT-PU-2021-3020
ALT-PU-2024-1161
BDU:2022-05556
CVE-2021-41055
DSA-5064-1
MGASA-2022-0179
OPENSUSE-SU-2024:11734-1

Produtos afetados

Alt Linux
Gajim