PT-2024-39331 · Unknown+2 · Micropython+2

Qbit

·

Publicado

2024-09-17

·

Atualizado

2025-05-01

·

CVE-2024-8946

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do software vulnerável e versões afetadas:
MicroPython versão 1.23.0
Descrição:
Foi encontrada uma falha crítica no componente VFS Unmount Handler, especificamente na função mp vfs umount do arquivo extmod/vfs.c. Essa falha leva a um estouro de buffer baseado em heap. O ataque pode ser lançado remotamente. A comparação entre a string do caminho montado e a string solicitada para desmontagem baseia-se exclusivamente no comprimento da string de desmontagem, o que pode levar a uma leitura de estouro de buffer de heap.
Recomendações:
Para corrigir esta falha, recomenda-se aplicar um patch, especificamente aquele com o nome 29943546343c92334e8518695a11fc0e2ceea68b. Como solução temporária, considere desativar a função mp vfs umount até que um patch esteja disponível. Restrinja o acesso ao arquivo extmod/vfs.c para minimizar o risco de exploração. Evite usar o processo de desmontagem do VFS até que o problema seja resolvido.

Exploit

Correção

Memory Corruption

Heap Based Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-787CWE-122

Identificadores relacionados

CVE-2024-8946
GHSA-74QM-4V7R-JW2F
PYSEC-2024-91
PYSEC-2024-93
PYSEC-2024-95
PYSEC-2024-96
USN-7472-1

Produtos afetados

Linuxmint
Micropython
Ubuntu