PT-2021-7861 · Ezxml+3 · Ezxml+3

Publicado

2021-01-23

·

Atualizado

2021-12-23

·

CVE-2021-26222

CVSS v2.0

8.8

Alta

VetorAV:N/AC:M/Au:N/C:N/I:C/A:C
Nome do software vulnerável e versões afetadas
ezXML versões 0.8.6 e anteriores
Descrição
O problema está relacionado à função ezxml new no ezXML, que é vulnerável a uma gravação fora dos limites (OOB) ao abrir um arquivo XML após esgotar o pool de memória. Isso pode permitir que um invasor remoto comprometa a integridade dos dados e cause uma negação de serviço.
Recomendações
Para as versões 0.8.6 e anteriores do ezXML, considere desativar a função ezxml new até que um patch esteja disponível para evitar possíveis explorações. Restrinja o acesso a arquivos XML para minimizar o risco de ataques de gravação fora dos limites.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

BDU:2023-03827
CVE-2021-26222
MGASA-2021-0580
OPENSUSE-SU-2021:1505-1
OPENSUSE-SU-2021:3804-1
OPENSUSE-SU-2021:3805-1
OPENSUSE-SU-2021:3815-1
OPENSUSE-SU-2021:3873-1
OPENSUSE-SU-2021_1505-1
OPENSUSE-SU-2021_3804-1
OPENSUSE-SU-2021_3805-1
OPENSUSE-SU-2021_3815-1
OPENSUSE-SU-2021_3873-1
SUSE-SU-2021:3804-1
SUSE-SU-2021:3805-1
SUSE-SU-2021:3815-1
SUSE-SU-2021:3873-1

Produtos afetados

Astra Linux
Debian
Suse
Ezxml