PT-2022-3822 · Lua+6 · Lua+6
Roberto-Ieru
·
Publicado
2022-02-15
·
Atualizado
2024-07-29
·
CVE-2022-28805
CVSS v2.0
9.4
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões 5.4.0 a 5.4.4 do Lua
Descrição
O problema está relacionado a uma leitura excessiva do buffer baseada em heap na função
singlevar em lparser.c do Lua. Isso pode afetar sistemas que compilam código Lua não confiável, permitindo potencialmente que um invasor remoto execute código arbitrário. O problema é causado pela ausência de uma chamada luaK exp2anyregup.Recomendações
Para as versões 5.4.0 a 5.4.3 do Lua, atualize para a versão 5.4.4 ou posterior para resolver o problema.
Para a versão 5.4.4 do Lua, embora seja mencionada como parte do intervalo vulnerável, a versão de correção exata não é explicitamente indicada, mas está implícito que a atualização para uma versão posterior mitigaria o risco.
No momento, não há informações sobre medidas de mitigação adicionais para esta vulnerabilidade específica.
Exploit
Correção
DoS
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Debian
Linuxmint
Lua
Red Hat
Ubuntu