PT-2021-7859 · Ezxml+3 · Ezxml+3

Cve Reporting

·

Publicado

2021-01-24

·

Atualizado

2021-12-23

·

CVE-2021-26220

CVSS v2.0

9.4

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:C
Nome do software vulnerável e versões afetadas
ezXML versões 0.8.6 e anteriores
Descrição
O problema está relacionado à função ezxml toxml no ezXML, que é vulnerável a uma gravação fora dos limites (OOB) ao abrir um arquivo XML após esgotar o pool de memória. Isso pode permitir que um invasor remoto comprometa a integridade dos dados e cause uma negação de serviço.
Recomendações
Para as versões 0.8.6 e anteriores do ezXML, considere desativar a função ezxml toxml até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso a arquivos XML para minimizar o risco de ataques de gravação fora dos limites. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

BDU:2023-03825
CVE-2021-26220
MGASA-2021-0580
OPENSUSE-SU-2021:1505-1
OPENSUSE-SU-2021:3804-1
OPENSUSE-SU-2021:3805-1
OPENSUSE-SU-2021:3815-1
OPENSUSE-SU-2021:3873-1
OPENSUSE-SU-2021_1505-1
OPENSUSE-SU-2021_3804-1
OPENSUSE-SU-2021_3805-1
OPENSUSE-SU-2021_3815-1
OPENSUSE-SU-2021_3873-1
SUSE-SU-2021:3804-1
SUSE-SU-2021:3805-1
SUSE-SU-2021:3815-1
SUSE-SU-2021:3873-1

Produtos afetados

Astra Linux
Debian
Suse
Ezxml