Open Source Curl sérülékenysége
Angol cím: Open Source Curl Vulnerability
Publikálás dátuma: 2024.07.24.
Utolsó módosítás dátuma: 2024.08.26.
Leírás
A program kétszer hívja meg a free() függvényt ugyanarra a memóriacímre, ami a váratlan memóriahelyek módosításához vezethet.
Leírás forrása: CWE-415Elemzés leírás
Eredeti nyelven: The vulnerability allows a remote attacker to execute arbitrary code on the target system.
The vulnerability exists due to a boundary error in ASN1 parser within the utf8asn1str() function. A remote attacker can pass specially crafted TLS certificate to the application, trigger double free error and execute arbitrary code on the target system.
The vulnerable code can only be reached when curl is built to use GnuTLS, wolfSSL, Schannel or Secure Transport.
Elemzés leírás forrása: CVE-2024-6197Hatás
CVSS3.1 Súlyosság és Metrika
Base score: 7.5 (Magas)
Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Impact Score: 3.6
Exploitability Score: 3.9
Attack Vector (AV): Network
Attack Complexity (AC): Low
Privileges Required (PR): None
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality Impact (C): None
Integrity Impact (I): None
Availability Impact (A): High
Következmények
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Hivatkozások
Sérülékeny szoftverek
cURL: 8.6.0 - 8.8.0