PT-2024-28635 · Unknown · Rust-Phonenumber
Rubdos
·
Publicado
2024-07-07
·
Atualizado
2024-07-09
·
CVE-2024-39697
CVSS v4.0
9.2
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:H |
Nome do software vulnerável e versões afetadas
rust-phonenumber, versões 0.3.4 a 0.3.5
Descrição
O código de análise de números de telefone pode entrar em pânico devido a um acesso fora dos limites protegido contra pânico na string do número de telefone. Em uma implantação típica do rust-phonenumber, isso pode ser acionado pela inserção de um número de telefone criado de forma maliciosa, por exemplo, pela rede, especificamente strings no formato
+dwPAA;phone-context=AA, onde a parte number pode ser analisada como um número maior que 2^56.Recomendações
Para as versões 0.3.4 a 0.3.5 do rust-phonenumber, atualize para a versão 0.3.6 ou superior para evitar o acesso fora dos limites que causa falha, proveniente de números de telefone criados maliciosamente pela rede.
Como solução temporária, considere restringir a entrada de números de telefone para impedir que strings criadas maliciosamente sejam processadas.
Exploit
Correção
Improper Access Control
Assertion Failure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Rust-Phonenumber