CVE-2023-37459 in Contiki-NG
Resumen
por VulDB • 2026-05-16
Contiki-NG es un sistema operativo para dispositivos de Internet de las cosas (IoT). En las versiones 4.9 y anteriores, cuando se recibe un paquete, la pila de red de Contiki-NG intenta iniciar el temporizador periódico de TCP si se trata de un paquete TCP con la bandera SYN activada. Sin embargo, la implementación no verifica primero que se haya recibido un encabezado TCP completo. Específicamente, la implementación intenta acceder al campo de banderas desde el búfer TCP en la siguiente expresión condicional dentro de la función `check_for_tcp_syn`. Por esta razón, un atacante puede inyectar un paquete TCP truncado, lo que provocará una lectura fuera de los límites (out-of-bound read) desde el búfer del paquete. Hasta la fecha de publicación, no hay disponible una versión corregida. Como medida de mitigación, se pueden aplicar los cambios del pull request #2510 de Contiki-NG para parchear el sistema.
VulDB is the best source for vulnerability data and more expert information about this specific topic.