Vulnerabilidad en la función calloc() de la biblioteca de tiempo de ejecución C de BlackBerry® QNX Software Development Platform (SDP), QNX OS for Medical y QNX OS for Safety (CVE-2021-22156)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-190
Desbordamiento o ajuste de enteros
Fecha de publicación:
17/08/2021
Última modificación:
22/08/2025
Descripción
Una vulnerabilidad de desbordamiento de enteros en la función calloc() de la biblioteca de tiempo de ejecución C de las versiones afectadas de BlackBerry® QNX Software Development Platform (SDP) versión(es) 6.5.0SP1 y anteriores, QNX OS for Medical versiones 1.1 y anteriores, y QNX OS for Safety versiones 1.0.1 y anteriores, que podría permitir a un atacante llevar a cabo potencialmente una denegación de servicio o ejecutar código arbitrario.
Impacto
Puntuación base 3.x
9.00
Gravedad 3.x
CRÍTICA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:blackberry:qnx_software_development_platform:*:*:*:*:*:*:*:* | 6.5.0 (excluyendo) | |
| cpe:2.3:a:blackberry:qnx_software_development_platform:6.5.0:-:*:*:*:*:*:* | ||
| cpe:2.3:a:blackberry:qnx_software_development_platform:6.5.0:sp1:*:*:*:*:*:* | ||
| cpe:2.3:o:blackberry:qnx_os_for_medical:*:*:*:*:*:*:*:* | 1.1.1 (incluyendo) | |
| cpe:2.3:o:blackberry:qnx_os_for_safety:*:*:*:*:*:*:*:* | 1.0.2 (incluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-qnx-TOxjVPdL
- https://support.blackberry.com/kb/articleDetail?articleNumber=000082334
- https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-qnx-TOxjVPdL