PT-2022-12136 · Yottadb · Yottadb
Publicado
2022-04-15
·
Atualizado
2022-04-22
·
CVE-2021-44489
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do YottaDB anteriores à r1.32 e à V7.0-000
Descrição
Foi descoberta uma vulnerabilidade que permite que invasores provoquem um underflow de inteiro no tamanho das chamadas para memset em op fnj3 no arquivo sr port/op fnj3.c. Isso pode ser feito usando entradas maliciosas, resultando em uma falha de segmentação e travando o aplicativo.
Recomendações
Para versões do YottaDB anteriores à r1.32 e V7.0-000, considere restringir o acesso à função op fnj3 em sr port/op fnj3.c para minimizar o risco de exploração. Como solução temporária, evite usar entradas manipuladas que possam causar um underflow de inteiro no tamanho das chamadas para memset. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
Integer Underflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Yottadb