SerenityOS TypedArray.cpp initialize_typed_array_from_array_buffer buffer overflow
| CVSS Score méta-temporaire | Prix actuel de l'exploit (≈) | Score d'intérêt CTI |
|---|---|---|
| 6.8 | $0-$5k | 0.00 |
Résumé
Une vulnérabilité classée comme critique a été trouvée dans SerenityOS. Affecté est la fonction initialize_typed_array_from_array_buffer dans la bibliothèque Userland/Libraries/LibJS/Runtime/TypedArray.cpp. La manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe buffer overflow.
Cette vulnérabilité est référencée sous CVE-2021-4327. De plus, un exploit est disponible.
Ce produit utilise une publication continue (rolling release) pour assurer une livraison en continu. Par conséquent, aucun détail de version concernant les versions affectées ou mises à jour n'est disponible. La meilleure solution suggérée pour atténuer le problème est d'appliquer le correctif au composant infecté.
Détails
Une vulnérabilité a été trouvé dans SerenityOS et classée critique. Affecté par ce problème est la fonction initialize_typed_array_from_array_buffer dans la bibliothèque Userland/Libraries/LibJS/Runtime/TypedArray.cpp. La manipulation avec une valeur d'entrée inconnue mène à une vulnérabilité de classe buffer overflow.
La vulnerabilité a été publié en 01/03/2023 par William Bowling (confirmé). La notice d'information est disponible en téléchargement sur devcraft.io Cette vulnérabilité a été nommée CVE-2021-4327. Des details techniques et un public exploit sont connus.
L'exploit est disponible au téléchargment sur devcraft.io. Il est déclaré comme preuve de concept.
En appliquant le correctif f6c6047e49f1517778f5565681fb64750b14bf60 il est possible d'éliminer le problème. Le correctif est disponible au téléchargement sur github.com.
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Produit
Nom
Licence
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vecteur: 🔍VulDB Fiabilité: 🔍
CVSSv3
VulDB Score méta-base: 6.9VulDB Score méta-temporaire: 6.8
VulDB Note de base: 5.5
VulDB Note temporaire: 5.0
VulDB Vecteur: 🔍
VulDB Fiabilité: 🔍
NVD Note de base: 9.8
NVD Vecteur: 🔍
CNA Note de base: 5.5
CNA Vecteur (VulDB): 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vecteur | Complexité | Authentification | Confidentialité | Intégrité | Disponibilité |
|---|---|---|---|---|---|
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
| Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
VulDB Note de base: 🔍
VulDB Note temporaire: 🔍
VulDB Fiabilité: 🔍
NVD Note de base: 🔍
Exploitation
Classe: Buffer overflowCWE: CWE-190 / CWE-189
CAPEC: 🔍
ATT&CK: 🔍
Physique: Non
Local: Non
Remote: Oui
Disponibilité: 🔍
Accès: Public
Statut: Preuve de concept
Télécharger: 🔍
EPSS Score: 🔍
EPSS Percentile: 🔍
Prédiction de prix: 🔍
Estimation actuelle des prix: 🔍
| 0-Day | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
|---|---|---|---|---|
| Aujourd'hui | Déverrouiller | Déverrouiller | Déverrouiller | Déverrouiller |
Renseignements sur les menaces
Intérêt: 🔍Acteurs actifs: 🔍
Groupes APT actifs: 🔍
Contre-mesures
Recommandé: CorrectifStatut: 🔍
Heure 0 jour: 🔍
Correctif: f6c6047e49f1517778f5565681fb64750b14bf60
Chronologie
01/03/2023 🔍01/03/2023 🔍
01/03/2023 🔍
26/03/2023 🔍
Sources
Bulletin: f6c6047e49f1517778f5565681fb64750b14bf60Chercheur: William Bowling
Statut: Confirmé
CVE: CVE-2021-4327 (🔍)
GCVE (CVE): GCVE-0-2021-4327
GCVE (VulDB): GCVE-100-222074
scip Labs: https://www.scip.ch/en/?labs.20161013
Entrée
Créé: 01/03/2023 11:10Mise à jour: 26/03/2023 16:15
Changements: 01/03/2023 11:10 (44), 26/03/2023 16:08 (3), 26/03/2023 16:15 (28)
Complet: 🔍
Cache ID: 216::103
If you want to get best quality of vulnerability data, you may have to visit VulDB.
Aucun commentaire pour l'instant. Langues: fr + it + en.
Veuillez vous connecter pour commenter.