PT-2021-7866 · Ezxml+4 · Ezxml+4

Rc0R

·

Publicado

2021-04-24

·

Atualizado

2022-05-03

·

CVE-2021-31598

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
ezXML versão 0.8.6
Descrição
O problema está relacionado à função ezxml decode() na biblioteca ezXML, que realiza um tratamento incorreto da memória ao analisar arquivos XML manipulados. Isso leva a um estouro de buffer baseado na pilha, permitindo que um invasor remoto provoque uma negação de serviço usando um arquivo XML especialmente manipulado. A função ezxml decode() é vulnerável a ataques de estouro de buffer devido ao seu tratamento incorreto de arquivos XML.
Recomendações
Para a versão 0.8.6 do ezXML, considere desativar a função ezxml decode() até que um patch esteja disponível para evitar uma possível exploração. Restrinja o acesso à função ezxml decode() para minimizar o risco de ataques de negação de serviço. Evite usar a função ezxml decode() com arquivos XML não confiáveis até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Memory Corruption

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787

Identificadores relacionados

BDU:2023-03832
CVE-2021-31598
DLA-2705-1
MGASA-2021-0580
OPENSUSE-SU-2021:1505-1
OPENSUSE-SU-2021:3804-1
OPENSUSE-SU-2021:3805-1
OPENSUSE-SU-2021:3815-1
OPENSUSE-SU-2021:3873-1
OPENSUSE-SU-2021_1505-1
OPENSUSE-SU-2021_3804-1
OPENSUSE-SU-2021_3805-1
OPENSUSE-SU-2021_3815-1
OPENSUSE-SU-2021_3873-1
SUSE-SU-2021:3804-1
SUSE-SU-2021:3805-1
SUSE-SU-2021:3815-1
SUSE-SU-2021:3873-1
USN-5061-1

Produtos afetados

Astra Linux
Debian
Suse
Ubuntu
Ezxml