PT-2024-31032 · Google · Tink-Cc
Juergw
·
Publicado
2024-05-21
·
Atualizado
2025-06-05
·
CVE-2024-4420
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Tink-cc anteriores à 2.1.3
Descrição
O problema está relacionado a uma vulnerabilidade de negação de serviço. Um invasor pode causar falha em binários usando o
crypto::tink::JsonKeysetReader no Tink-cc, fornecendo uma entrada que não seja um objeto JSON codificado, mas que ainda seja um elemento JSON codificado válido, por exemplo, um número ou uma matriz. Isso causará falha, pois o Tink simplesmente assume que qualquer entrada JSON válida conterá um objeto. Além disso, um invasor pode causar falha em binários fornecendo uma entrada contendo muitos objetos JSON aninhados, o que pode resultar em um estouro de pilha.Recomendações
Recomendamos atualizar para a versão 2.1.3 ou superior. Como solução temporária, considere restringir o uso da função
crypto::tink::JsonKeysetReader até que um patch esteja disponível. Evite usar entradas que não sejam objetos JSON codificados ou que contenham muitos objetos JSON aninhados no endpoint da API afetado até que o problema seja resolvido.Correção
DoS
Improper Encoding or Escaping of Output
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Tink-Cc