Vulnerabilidad en Contiki-NG (CVE-2024-47181)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-704 Conversión de tipos errónea

Fecha de publicación:

27/11/2024

Última modificación:

10/04/2025

Descripción

Contiki-NG es un sistema operativo multiplataforma de código abierto para dispositivos IoT. Se puede activar un acceso a memoria no alineado en las dos implementaciones RPL del sistema operativo Contiki-NG. El problema puede ocurrir cuando cualquiera de estas implementaciones RPL está habilitada y conectada a una instancia RPL. Si un paquete IPv6 contiene una cantidad impar de bytes rellenados antes de la opción RPL, puede provocar que la función rpl_ext_header_hbh_update lea un entero de 16 bits desde una dirección impar. El impacto de esta lectura no alineada depende de la arquitectura, pero puede provocar que el sistema se bloquee. El problema no se ha solucionado a partir de la versión 4.9, pero se incluirá en la próxima versión. Se pueden aplicar los cambios en la solicitud de incorporación de cambios de Contiki-NG n.° 2962 para aplicar un parche al sistema o esperar a la próxima versión.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto