CVE-2024-27308 in mio
Riassunto
di VulDB • 10/07/2026
Mio è una libreria I/O per Metal destinata a Rust. Quando si utilizzano named pipe su Windows, in determinate circostanze mio restituisce token non validi che corrispondono a named pipe già deregistrate dal registro di mio. L'impatto di questa vulnerabilità dipende dall'utilizzo effettivo della libreria mio. In alcune applicazioni i token non validi possono essere ignorati o causare un avviso o un crash. Al contrario, per le applicazioni che memorizzano puntatori nei token, questa vulnerabilità può comportare un use-after-free. Per gli utenti di Tokio, la vulnerabilità è grave e può provocare un use-after-free in Tokio. La vulnerabilità è specifica di Windows e si verifica solo se vengono utilizzate named pipe; altre risorse I/O non sono interessate. Il problema è stato risolto nella versione mio v0.8.11. Tutte le versioni di mio comprese tra la v0.7.2 e la v0.8.10 sono vulnerabili. Tokio risulta vulnerabile quando si utilizza una versione vulnerabile di mio E contemporaneamente almeno Tokio v1.30.0. Le versioni precedenti a Tokio v1.30.0 ignorano i token non validi, pertanto non sono vulnerabili. Le librerie vulnerabili che fanno uso di mio possono aggirare il problema rilevando e ignorando i token non validi.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.