Katalog CVE

CVE-2025-5278

ŚrednieCVSS 4.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 - wyżej niż 13% wszystkich znanych CVE

Streszczenie

W GNU Coreutils znaleziono błąd w funkcji begfield() narzędzia sort, który powoduje podczyt spod sterty (heap buffer under-read). Program może uzyskać dostęp do pamięci poza przydzielonym buforem, jeśli użytkownik uruchomi spreparowane polecenie z tradycyjnym formatem klucza.

Ocena ryzyka

Złośliwe dane wejściowe mogą doprowadzić do awarii programu lub wycieku wrażliwych danych, co stanowi ryzyko dla poufności i dostępności systemu.

Rekomendacja

Zaleca się natychmiastową aktualizację GNU Coreutils do najnowszej wersji zawierającej poprawkę oraz unikanie uruchamiania poleceń sort z niezweryfikowanymi danymi wejściowymi.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in GNU Coreutils. The sort utility's begfield() function is vulnerable to a heap buffer under-read. The program may access memory outside the allocated buffer if a user runs a crafted command using the traditional key format. A malicious input could lead to a crash or leak sensitive data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS