Vulnerabilidad en FastDDS (CVE-2024-30258)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-20
Validación incorrecta de entrada
Fecha de publicación:
14/05/2024
Última modificación:
27/01/2025
Descripción
FastDDS es una implementación en C++ del estándar DDS (Servicio de distribución de datos) de OMG (Object Management Group). Antes de las versiones 2.14.1, 2.13.5, 2.10.4 y 2.6.8, cuando un editor entrega un paquete "RTPS" con formato incorrecto, el suscriptor falla al crear "pthread". Esto puede bloquear de forma remota cualquier proceso Fast-DDS, lo que podría provocar un ataque de DOS. Las versiones 2.14.1, 2.13.5, 2.10.4 y 2.6.8 contienen un parche para el problema.
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:eprosima:fast_dds:*:*:*:*:*:*:*:* | 2.6.8 (excluyendo) | |
| cpe:2.3:a:eprosima:fast_dds:*:*:*:*:*:*:*:* | 2.10.0 (incluyendo) | 2.10.4 (excluyendo) |
| cpe:2.3:a:eprosima:fast_dds:*:*:*:*:*:*:*:* | 2.13.0 (incluyendo) | 2.13.5 (excluyendo) |
| cpe:2.3:a:eprosima:fast_dds:2.14.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://drive.google.com/file/d/19W5UC52hPnAqVq_boZWO45d1TJ4WoCSh/view?usp=sharing
- https://github.com/eProsima/Fast-DDS/commit/65236f93e9c4ea3ff9a49fba4dfd9e43eb94037b
- https://github.com/eProsima/Fast-DDS/security/advisories/GHSA-53xw-465j-rxfh
- https://drive.google.com/file/d/19W5UC52hPnAqVq_boZWO45d1TJ4WoCSh/view?usp=sharing
- https://github.com/eProsima/Fast-DDS/commit/65236f93e9c4ea3ff9a49fba4dfd9e43eb94037b
- https://github.com/eProsima/Fast-DDS/security/advisories/GHSA-53xw-465j-rxfh