CVE-2026-55406 in buffa정보

요약

\~에 의해 VulDB • 2026. 07. 16.

Buffa는 순수 Rust로 구현된 Protocol Buffers 라이브러리로, 첫 번째 클래스 프로토콜 버퍼 에디션 지원을 제공합니다. 버전 0.7.0 이전에는 OwnedView<V> 타입의 안전성(soundness) 결함으로 인해 안전한 Rust 코드가 use-after-free를 유발할 수 있었습니다: OwnedView::decode 생성자가 빌려온 슬라이스를 &'static [u8]로 변환(transmute)했고, Deref 구현은 빌려온 뷰 필드(예: &'static str 및 &'static [u8])에 대해 승격된 'static 수명을 호출자에게 노출하여 borrow checker가 해당 참조들이 OwnedView의 수명보다 길게 유지되도록 허용했습니다. 따라서 OwnedView가 해제되고 백킹 버퍼가 반납되면 참조들은 덩글링(dangling) 상태가 되어, 호출 애플리케이션에서 unsafe 코드가 전혀 사용되지 않았음에도 메모리 손상, 반납된 힙 콘텐츠에 대한 정보 유출, 그리고 스레드 간 오용을 초래할 수 있었습니다. 이 문제는 버전 0.7.0에서 수정되었습니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 06. 16.

모더레이션

수락

항목

VDB-379580

EPSS

0.00000

출처

Do you need the next level of professionalism?

Upgrade your account now!