PT-2024-24080 · Lua+1 · Lua+2
Caeleron
·
Publicado
2024-04-16
·
Atualizado
2024-04-17
·
CVE-2024-31446
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do OpenComputers anteriores à 1.8.4
Versões do modpack GregTech: New Horizons anteriores à 1.10.10-GTNH
Descrição
A falha permite que um usuário faça com que um thread do Computer fique travado na Lua VM, o que acaba bloqueando o thread do servidor, exigindo que o servidor seja desligado à força. Isso pode ser feito usando qualquer dispositivo no mod e pode ser executado por qualquer pessoa capaz de executar código Lua neles. O problema ocorre ao usar a biblioteca Lua nativa, mas o LuaJ parece não apresentar essa falha.
Recomendações
Para versões do OpenComputers anteriores à 1.8.4, atualize para a versão 1.8.4 para resolver o problema.
Para versões do modpack GregTech: New Horizons anteriores à 1.10.10-GTNH, atualize para a versão 1.10.10-GTNH para aplicar o patch relevante.
Como solução temporária, considere restringir a execução de código Lua nos dispositivos do mod para minimizar o risco de exploração.
Exploit
Correção
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gregtech: New Horizons
Lua
Opencomputers