Katalog CVE

CVE-2017-20230

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Wersje Storable przed 3.05 dla Perla mają podatność na przepełnienie stosu. Funkcja retrieve_hook przechowuje długość nazwy klasy w liczbie całkowitej ze znakiem, ale w operacjach odczytu traktuje tę długość jako liczbę bez znaku, co umożliwia atakującemu skonstruowanie danych wywołujących przepełnienie.

Ocena ryzyka

Podatność ta może prowadzić do nieautoryzowanego dostępu lub wykonania złośliwego kodu, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych organizacji.

Rekomendacja

Zaleca się aktualizację do wersji Storable 3.05 lub nowszej, aby usunąć tę podatność oraz przeprowadzenie audytu bezpieczeństwa aplikacji korzystających z tej biblioteki.

Oryginalny opis (angielski, źródło NVD)

Storable versions before 3.05 for Perl has a stack overflow. The retrieve_hook function stored the length of the class name into a signed integer but in read operations treated the length as unsigned. This allowed an attacker to craft data that could trigger the overflow.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS