PT-2024-19614 · Swftools · Swftools
Ccccgb
·
Publicado
2024-01-19
·
Atualizado
2024-11-19
·
CVE-2024-22920
CVSS v3.1
7.8
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
swftools versão 0.9.2
Descrição
A vulnerabilidade está relacionada a um uso indevido da memória heap após liberação (heap-use-after-free) na função
bufferWriteData, localizada em swftools/lib/action/compile.c. Isso permite o acesso não autorizado. Verificou-se que o BrazenBamboo explora essa vulnerabilidade para roubar credenciais de VPN.Recomendações
Para a versão 0.9.2 do swftools, considere desativar a função
bufferWriteData em swftools/lib/action/compile.c como uma solução temporária até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.Exploit
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Swftools