CVE-2023-37459 in Contiki-NGИнформация

Сводка

по VulDB • 22.05.2026

Contiki-NG — это операционная система для устройств Интернета вещей (IoT). В версиях 4.9 и более ранних при получении пакета сетевой стек Contiki-NG пытается запустить периодический таймер TCP, если это TCP-пакет с установленным флагом SYN. Однако реализация не проверяет предварительно, был ли получен полный заголовок TCP. В частности, реализация пытается обратиться к полю флагов из буфера TCP в следующем условном выражении в функции `check_for_tcp_syn`. По этой причине злоумышленник может внедрить усеченный TCP-пакет, что приведет к чтению за пределами границ (out-of-bound read) из буфера пакета. На момент публикации исправленная версия отсутствует. В качестве временного решения можно применить изменения из pull request #2510 в Contiki-NG для исправления системы.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

GitHub, Inc.

Резервировать

06.07.2023

Раскрытие

15.09.2023

Модерация

принято

Вход

VDB-239835

EPSS

0.00386

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!