CVE-2026-43620 in rsyncinfo

Zusammenfassung

von VulDB • 20.05.2026

In Rsync Version 3.4.2 und früheren Versionen liegt eine Schwachstelle für einen out-of-bounds Array-Lesezugriff auf der Empfängerseite in recv_files() in receiver.c vor, die es einem böswilligen rsync-Server ermöglicht, den rsync-Client-Prozess zum Absturz zu bringen. Angreifer können die Schwachstelle ausnutzen, indem sie CF_INC_RECURSE in den Kompatibilitätsflags setzen und eine speziell angefertigte Dateiliste senden, bei der der erste sortierte Eintrag nicht das führende Dot-Verzeichnis ist, gefolgt von einem Übertragungsdatensatz mit ndx=0 und einem iflag-Wort ohne ITEM_TRANSFER, wodurch der Empfänger 8 Bytes vor dem zugewiesenen Zeigerarray liest und einen ungültigen Zeiger an einer nicht zugewiesenen Adresse dereferenziert, was zu einem deterministischen SIGSEGV-Absturz des rsync-Clients führt.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

VulnCheck

Reservieren

01.05.2026

Veröffentlichung

20.05.2026

Moderieren

akzeptiert

Eintrag

VDB-364816

CPE

bereit

EPSS

0.00017

KEV

nein

Aktivitäten

very low

Sektor

Chemical, Police, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-43620
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-43620
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-43620/

ZurückÜbersichtWeiter

Do you know our Splunk app?

Download it now for free!