PT-2021-7754 · Stb+3 · Stb+3

Kaka201

·

Publicado

2021-03-04

·

Atualizado

2023-02-24

·

CVE-2021-28021

CVSS v2.0

9.3

Alta

VetorAV:N/AC:M/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
stb versão 2.26
Descrição
O problema está relacionado a uma vulnerabilidade de estouro de buffer na função stbi extend receive do componente stb image.h na biblioteca stb para C/C++. Essa vulnerabilidade pode ser explorada por um invasor remoto usando um arquivo JPEG especialmente criado, permitindo que ele acesse dados confidenciais, comprometa a integridade dos dados e cause uma negação de serviço.
Recomendações
Para a versão 2.26 do stb, considere desativar a função stbi extend receive até que um patch esteja disponível para impedir a exploração. Restrinja o acesso ao componente stb image.h para minimizar o risco de exploração. Evite usar o componente stb image.h com arquivos JPEG não confiáveis até que o problema seja resolvido.

Exploit

Correção

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

BDU:2023-02646
CVE-2021-28021
DLA-3305-1
MGASA-2021-0549
MGASA-2022-0074
OPENSUSE-SU-2022:0157-1
OPENSUSE-SU-2022_0157-1
OPENSUSE-SU-2024:11686-1
SUSE-SU-2022:0157-1
SUSE-SU-2022:0163-1
SUSE-SU-2022_0157-1
SUSE-SU-2022_0163-1

Produtos afetados

Astra Linux
Debian
Suse
Stb