PT-2022-6914 · Xstream+2 · Xstream+2

Publicado

2022-09-16

·

Atualizado

2024-06-15

·

CVE-2022-40151

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas
XStream (versões afetadas não especificadas)
Descrição
O problema está relacionado a um ataque de negação de serviço (DOS) que pode ocorrer ao usar o XStream para serializar dados XML. Se o analisador estiver em execução com dados fornecidos pelo usuário, um invasor pode enviar conteúdo que cause a falha do analisador por estouro de pilha, potencialmente possibilitando um ataque de negação de serviço. Isso se deve a um estouro de buffer na pilha. A exploração desse problema pode permitir que um invasor remoto cause uma negação de serviço.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

Exploit

DoS

Memory Corruption

Deserialization of Untrusted Data

Stack Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787CWE-502CWE-121

Identificadores relacionados

BDU:2023-05607
CVE-2022-40151
GHSA-3MQ5-FQ9H-GJ7J
GHSA-F8CC-G7J8-XXPM
OESA-2023-1929
OESA-2023-1937
OPENSUSE-SU-2024:12796-1
RHSA-2023:3299
SUSE-SU-2023:1673-1

Produtos afetados

Debian
Suse
Xstream