PT-2025-9284 · Unknown · Libwebsockets
Titan Team
·
Publicado
2025-03-03
·
Atualizado
2025-03-07
·
CVE-2025-1866
CVSS v4.0
10
Crítica
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Versões do libwebsockets anteriores à 4.3.4
Descrição
O problema está relacionado a uma Restrição Impropría de Operações dentro dos Limites de um Buffer de Memória, o que pode levar à Manipulação de Ponteiros e potencialmente resultar em acesso à memória fora dos limites. Este problema está presente no código compilado para a plataforma Win32 e é acionado sob condições específicas, como quando LWS WITHOUT EXTENSIONS está definido como OFF ou LWS WITH HTTP STREAM COMPRESSION está definido como ON no CMake. Quando explorado, pode permitir que atacantes manipulem ponteiros, potencialmente causando corrupção de memória ou comportamento inesperado.
Recomendações
Para versões do libwebsockets anteriores à 4.3.4, atualize para a versão 4.3.4 ou posterior para resolver o problema. Como solução temporária, considere desabilitar o código afetado definindo LWS WITHOUT EXTENSIONS como ON e LWS WITH HTTP STREAM COMPRESSION como OFF no CMake, a menos que essas configurações sejam necessárias para funcionalidades específicas.
Correção
Buffer Overflow
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Libwebsockets