PT-2024-18939 · Unknown · Node-Twain
Alessio Della Libera
·
Publicado
2024-07-10
·
Atualizado
2024-07-11
·
CVE-2024-21525
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
todas as versões do node-twain
Descrição
O problema decorre da verificação ou tratamento inadequado de condições excepcionais, devido à não verificação do comprimento dos dados de origem. A criação de um novo
twain.TwainSDK com uma propriedade productName, productFamily, manufacturer ou version.info com comprimento >= 34 caracteres leva a um estouro de buffer.Recomendações
Para todas as versões, considere restringir o comprimento das propriedades
productName, productFamily, manufacturer e version.info para menos de 34 caracteres, a fim de minimizar o risco de exploração até que um patch esteja disponível. Como solução alternativa temporária, considere desativar a criação de novas instâncias twain.TwainSDK com valores de propriedade longos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Node-Twain