CVE-2023-37281 in Contiki-NG
Sumário
de VulDB • 10/05/2026
O Contiki-NG é um sistema operacional para dispositivos da Internet das Coisas (IoT). Nas versões 4.9 e anteriores, ao processar os vários campos do cabeçalho IPv6 durante a descompressão do cabeçalho IPHC, o Contiki-NG confirma que o buffer do pacote recebido contém dados suficientes conforme necessário para esse campo. No entanto, nenhuma verificação semelhante é realizada antes da descompressão do endereço IPv6. Portanto, até 16 bytes podem ser lidos fora dos limites na linha com a instrução `memcpy(&ipaddr->u8[16 - postcount], iphc_ptr, postcount);`. O valor de `postcount` depende da compressão de endereço usada no pacote recebido e pode ser controlado pelo atacante. Como resultado, um atacante pode injetar um pacote que cause uma leitura fora dos limites (out-of-bound read). Até o momento da publicação, uma versão corrigida não está disponível. Como medida de contorno, é possível aplicar as alterações no pull request #2509 do Contiki-NG para corrigir o sistema.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.