PT-2022-5937 · Connman+4 · Connman+4

Marcus Meissner

·

Publicado

2022-08-02

·

Atualizado

2024-06-15

·

CVE-2022-32293

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
ConnMan versões 1.41 e anteriores
Descrição
O problema está relacionado a um uso após liberação (use-after-free) no tratamento do WISPR, que pode ser desencadeado por um ataque man-in-the-middle contra uma consulta HTTP do WISPR. Isso pode levar a falhas no sistema ou à execução de código. A vulnerabilidade está associada à implementação do suporte ao WISPR no gerenciador de conexão ConnMan, permitindo que um invasor remoto cause uma negação de serviço ou execute código arbitrário.
Recomendações
Para as versões 1.41 e anteriores do ConnMan, como solução temporária, considere desativar o tratamento WISPR até que um patch esteja disponível. Restrinja o acesso a consultas HTTP WISPR para minimizar o risco de exploração.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

ALT-PU-2023-4820
ALT-PU-2023-5427
ALT-PU-2024-3980
BDU:2022-07359
CVE-2022-32293
DLA-3105-1
DLA-3144-1
DSA-5231-1
MGASA-2022-0319
OPENSUSE-SU-2022:10076-1
OPENSUSE-SU-2022:10134-1
OPENSUSE-SU-2024:12221-1
USN-6236-1
ZDI-22-1186

Produtos afetados

Alt Linux
Astra Linux
Connman
Linuxmint
Ubuntu