CVE-2026-40279 in BACnet Stack
요약
\~에 의해 VulDB • 2026. 05. 24.
BACnet Stack은 임베디드 시스템을 위한 BACnet 오픈 소스 프로토콜 스택 C 라이브러리입니다. 버전 1.4.3 이전의 `src/bacnet/bacint.c`에 있는 `decode_signed32()` 함수는 부호 있는 왼쪽 시프트(signed left shifts)를 사용하여 4개의 APDU 바이트로부터 32비트 부호 있는 정수를 복원합니다. 4개의 바이트 중 어느 것의 7번째 비트가 설정되어 있는 경우(값 ≥ 0x80), 왼쪽 시프트 연산이 부호 있는 int32_t를 오버플로우시켜 C 표준에 따라 정의되지 않은 동작(undefined behavior)을 유발합니다. 이 문제는 부호 있는 정수 속성 값 중 상위 비트가 설정된 바이트를 포함하는 모든 BACnet 입력에 대해 UndefinedBehaviorSanitizer에 의해 분당 수천 번씩 플래그로 지정됩니다. 이 취약점은 1.4.3에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.