PT-2022-6931 · Colord+4 · Colord+4

Publicado

2022-02-28

·

Atualizado

2025-12-18

·

CVE-2021-42523

CVSS v2.0

10

Alta

VetorAV:N/AC:L/Au:N/C:C/I:C/A:C
Nome do software vulnerável e versões afetadas
colord (versões afetadas não especificadas)
Descrição
O problema está relacionado a duas vulnerabilidades de divulgação de informações no colord. Essas vulnerabilidades estão localizadas em colord/src/cd-device-db.c e colord/src/cd-profile-db.c. O problema surge porque o err msg de sqlite3 exec não é liberado após o uso, contrariando os requisitos da libxml2, que determinam que o chamador deve liberá-lo. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Exploit

Memory Leak

Information Disclosure

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-401CWE-200

Identificadores relacionados

ALT-PU-2022-1389
ALT-PU-2022-3181
ALT-PU-2022-3267
AZL-10716
BDU:2023-05666
CVE-2021-42523
MGASA-2022-0366
OESA-2022-1914
OPENSUSE-SU-2022_3496-1
OPENSUSE-SU-2022_4170-1
OPENSUSE-SU-2024:12353-1
SUSE-SU-2022:3496-1
SUSE-SU-2022:4170-1
SUSE-SU-2022:4410-1
SUSE-SU-2022_3496-1
SUSE-SU-2022_4170-1
SUSE-SU-2022_4410-1
SUSE-SU-2025:20935-1
SUSE-SU-2025:20964-1
SUSE-SU-2025:3899-1
SUSE-SU-2025:3949-1
SUSE-SU-2025:4483-1
SUSE-SU-2025_3949-1

Produtos afetados

Alt Linux
Astra Linux
Debian
Suse
Colord