CVE-2025-52471

Nome do Software Vulnerável e Versões Afetadas: Versões do ESP-IDF 5.1.6, 5.2.5, 5.3.3 e 5.4.1

Descrição: Uma vulnerabilidade de underflow de inteiro foi identificada na implementação do protocolo ESP-NOW dentro do componente ESP Wi-Fi do framework ESP-IDF. Este problema decorre da validação insuficiente do comprimento dos dados fornecidos pelo usuário na função de recebimento de pacotes. Sob certas condições, isso pode levar a acesso à memória fora dos limites e pode permitir operações de gravação arbitrária na memória. Em sistemas sem um esquema de proteção de memória, esse comportamento poderia potencialmente ser usado para alcançar execução remota de código (RCE) no dispositivo alvo.

Recomendações: Para ESP-IDF v5.3 e anteriores, uma solução alternativa pode ser aplicada validando se o parâmetro data len recebido no callback de RX (registrado via esp now register recv cb()) é um valor positivo antes de processamento adicional. Para ESP-IDF v5.4 e posteriores, aconselha-se aos usuários atualizar para uma versão corrigida do ESP-IDF para aproveitar a mitigação integrada.