PT-2025-54613 — Crates.Io Capnp

PT-2025-54613 · Crates.Io · Capnp

Publicado

2025-12-24

Atualizado

2025-12-24

Nenhuma

Não há classificações de severidade ou métricas disponíveis. Quando houver, atualizaremos as informações correspondentes na página.

The safe API functions constant::Reader::get and StructSchema::new rely on PointerReader::get root unchecked, which can cause undefined behavior (UB) by constructing arbitrary words or schemas.

`Reader::get`

rust

pub fn get(&self) -> Result<<T as Owned>::Reader<'static>> {
  // ...
  // UNSAFE: access `words` without validation
}

`StructSchema::new`

rust

pub fn new(builder: RawBrandedStructSchema) -> StructSchema {
  // ...
  // UNSAFE: access encoded nodes without validation
}

This vulnerability allows safe Rust code to trigger UB, which violates Rust's safety guarantees.

The issue is resolved in version 0.24.0 by making constructor functions unsafe and mark the fields of struct as visible only in the crate.

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

RUSTSEC-2025-0143

Produtos afetados

Capnp