PT-2025-23219 · Unknown · Io::Compress::Brotli

Robert Rothenberg

·

Publicado

2020-09-15

·

Atualizado

2025-09-04

·

CVE-2020-36846

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do IO::Compress::Brotli anteriores à 0.007
Descrição Existe um estouro de buffer na biblioteca Brotli incorporada. Um atacante que controle o tamanho da entrada de uma requisição de descompressão pode causar uma falha ao copiar blocos de dados maiores que 2 GiB.
Recomendações Atualize o módulo IO::Compress::Brotli para a versão 0.007 ou posterior. Se não for possível atualizar, utilize a API de streaming em vez da API one-shot e imponha limites de tamanho de bloco.

Correção

Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-1395CWE-120

Identificadores relacionados

BIT-BROTLI-2020-8927
BIT-DOTNET-2020-8927
BIT-DOTNET-SDK-2020-8927
BIT-POWERSHELL-2020-8927
CVE-2020-36846
GHSA-5V8V-66V8-MWM7
GO-2025-3726
OPENSUSE-SU-2025:15225-1
PYSEC-2020-29
RUSTSEC-2021-0131
RUSTSEC-2021-0132

Produtos afetados

Io::Compress::Brotli