PT-2024-3777 · Google · Protocol Buffers
Publicado
2024-05-03
·
Atualizado
2025-09-05
·
CVE-2024-2410
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Protocol Buffers anteriores à 4.24.x
Descrição
O problema está relacionado à função JsonToBinaryStream(), que faz parte da implementação do Protocol Buffers em C++. Essa função é usada para analisar JSON a partir de um fluxo. Se a entrada for dividida em blocos separados de uma determinada maneira, o analisador tentará ler bytes de um bloco que já foi liberado. Isso pode ser explorado por um invasor remoto para executar código arbitrário usando um arquivo JSON especialmente criado.
Recomendações
Para versões do Protocol Buffers anteriores à 4.24.x, atualize o Protocol Buffers para uma versão que contenha a correção para este problema.
Como solução temporária, considere restringir o uso da função JsonToBinaryStream() até que um patch esteja disponível.
Correção
Use After Free
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Protocol Buffers