PT-2024-1550 · Clamav+1 · Clamav+1

Publicado

2024-02-07

·

Atualizado

2026-02-06

·

CVE-2024-20290

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
ClamAV (versões afetadas não especificadas)
Descrição
Uma vulnerabilidade no analisador de formato de arquivo OLE2 do ClamAV poderia permitir que um invasor remoto não autenticado causasse uma condição de negação de serviço (DoS) em um dispositivo afetado. Essa vulnerabilidade se deve a uma verificação incorreta dos valores de fim de string durante a verificação, o que pode resultar em uma leitura excessiva do buffer de heap. Um invasor poderia explorar essa vulnerabilidade enviando um arquivo malicioso contendo conteúdo OLE2 para ser verificado pelo ClamAV em um dispositivo afetado. Uma exploração bem-sucedida poderia permitir que o invasor interrompesse o processo de verificação do ClamAV, resultando em uma condição de DoS no software afetado e consumindo os recursos disponíveis do sistema.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

DoS

Out of bounds Read

Buffer Over-read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125CWE-126

Identificadores relacionados

BDU:2024-01085
CLEANSTART-2026-LA13761
CLEANSTART-2026-NJ87139
CLEANSTART-2026-TC95380
CLEANSTART-2026-WX01708
CVE-2024-20290
MGASA-2024-0048
USN-6636-1

Produtos afetados

Clamav
Ubuntu