PT-2024-5298 · Libcurl+12 · Libcurl+12
Dov Murik
+1
·
Publicado
2024-07-31
·
Atualizado
2026-05-18
·
CVE-2024-7264
CVSS v3.1
6.5
Média
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
libcurl (versões afetadas não especificadas)
Descrição
O problema está relacionado à função
GTime2str() no código do analisador ASN1 da libcurl, que é usada para analisar um campo de tempo generalizado ASN.1. Se for fornecido um campo sintaticamente incorreto, o analisador pode acabar usando -1 para o comprimento da fração de tempo, levando a uma chamada de strlen() sendo executada em um ponteiro para uma área de buffer da pilha que não é (intencionalmente) terminada em null. Essa falha provavelmente leva a uma falha do sistema, mas também pode fazer com que o conteúdo da pilha seja retornado ao aplicativo quando CURLINFO CERTINFO é usado.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exploit
DoS
Out of bounds Read
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Linuxmint
Apple Macos
Mysql Server
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Libcurl