Vulnerabilidad en Oniguruma (CVE-2017-9225)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-787
Escritura fuera de límites
Fecha de publicación:
24/05/2017
Última modificación:
20/04/2025
Descripción
Se descubrió un problema en Oniguruma versión 6.2.0, tal como es usado en Oniguruma-mod en Ruby hasta la versión 2.4.1 y mbstring en PHP hasta la versión 7.1.5. Una escritura fuera de los límites de la pila en la función onigenc_unicode_get_case_fold_codes_by_str() ocurre durante la compilación de expresiones regulares. El punto de código 0xFFFFFFFF no se maneja apropiadamente en unicode_unfold_key(). Una expresión regular malformada podría dar como resultado que se escriban 4 bytes al final de un búfer de pila de expand_case_fold_string() durante la llamada a onigenc_unicode_get_case_fold_codes_by_str(), un desbordamiento de búfer de pila típico.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
7.50
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:oniguruma_project:oniguruma:6.2.0:*:*:*:*:*:*:* | ||
| cpe:2.3:a:php:php:*:*:*:*:*:oniguruma-mod:*:* | 7.1.5 (incluyendo) | |
| cpe:2.3:a:ruby-lang:ruby:*:*:*:*:*:oniguruma-mod:*:* | 2.4.1 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página