CVE-2026-29013

Name of the Vulnerable Software and Affected Versions libcoap (versões afetadas não especificadas)

Description Existe um problema no processamento de desempacotamento CBOR do OSCORE Apêndice B.2, onde a função get byte inc() em src/oscore/oscore cbor.c depende exclusivamente de assert() para a verificação de limites. Como o assert() é removido em builds de lançamento compilados com NDEBUG, atacantes podem enviar requisições CoAP manipuladas com opções OSCORE malformadas ou respostas durante a negociação OSCORE. Isso pode desencadear leituras fora dos limites durante a análise do CBOR e potencialmente levar a escritas de estouro de buffer de heap devido ao wrap-around de inteiros no cálculo do tamanho da alocação.

Recommendations No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.