Vulnerabilidad en la función cr_input_new_from_uri en cr-input.c en libcroco (CVE-2017-7960)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
19/04/2017
Última modificación:
20/04/2025
Descripción
La función cr_input_new_from_uri en cr-input.c en libcroco 0.6.11 y 0.6.12 permite a atacantes remotos provocar una denegación de servicio (sobre lectura de búfer basado en memoria dinámica) a través de un archivo CSS manipulado.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:gnome:libcroco:0.6.11:*:*:*:*:*:*:* | ||
| cpe:2.3:a:gnome:libcroco:0.6.12:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00043.html
- https://blogs.gentoo.org/ago/2017/04/17/libcroco-heap-overflow-and-undefined-behavior/
- https://git.gnome.org/browse/libcroco/commit/?id=898e3a8c8c0314d2e6b106809a8e3e93cf9d4394
- https://security.gentoo.org/glsa/201707-13
- http://lists.opensuse.org/opensuse-security-announce/2019-06/msg00043.html
- https://blogs.gentoo.org/ago/2017/04/17/libcroco-heap-overflow-and-undefined-behavior/
- https://git.gnome.org/browse/libcroco/commit/?id=898e3a8c8c0314d2e6b106809a8e3e93cf9d4394
- https://security.gentoo.org/glsa/201707-13