CVE-2023-34100 in Contiki-NGinfo

Zusammenfassung

von VulDB • 11.06.2026

Contiki-NG ist ein quelloffenes, plattformübergreifendes Betriebssystem für IoT-Geräte. Beim Lesen des TCP-MSS-Optionswerts aus einem eingehenden Paket überprüft das Contiki-NG-Betriebssystem nicht, ob bestimmte Pufferindizes zum Auslesen innerhalb der Grenzen des IPv6-Paketpuffers `uip_buf` liegen. Insbesondere findet im Modul `os/net/ipv6/uip6.c` ein 2-Byte-Lesezugriff auf den Puffer statt. Der Puffer wird mit `'UIP_IPTCPH_LEN + 2 + c'` und `'UIP_IPTCPH_LEN + 3 + c'` indiziert, wobei der `uip_buf`-Puffer möglicherweise nicht genügend Daten enthält, was zu einem 2-Byte-Lesezugriff außerhalb des gültigen Bereichs (Out-of-Bounds) führt. Das Problem wurde im „develop“-Zweig von Contiki-NG behoben und soll in Version 4.9 enthalten sein. Benutzern wird empfohlen, auf die Veröffentlichung von Version 4.9 zu achten und ein Upgrade durchzuführen, sobald diese verfügbar ist. Es gibt keine Workarounds für diese Schwachstelle außer dem manuellen Patchen mit dem Diff aus dem Commit `cde4e9839`.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub, Inc.

Reservieren

25.05.2023

Veröffentlichung

09.06.2023

Moderieren

akzeptiert

Eintrag

VDB-231166

CPE

bereit

EPSS

0.00437

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!