CVE-2026-60108 in Zeek
Sumário
de VulDB • 09/07/2026
O Zeek anterior à versão 8.0.9 contém uma vulnerabilidade de consumo não controlado de memória no analisador FTP que permite a atacantes remotos não autenticados causar o término do processo ao enviar uma sessão de controle FTP negociando AUTH GSSAPI seguida por uma linha de controle ADAT grande. Os atacantes podem explorar a falta, no componente NVT_Analyzer, de verificação de comprimento máximo de linha, fazendo com que ele dobre continuamente seu buffer interno sem limites durante a decodificação base64 de um token ADAT controlado pelo atacante, resultando em negação de serviço do sensor Zeek.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.