Vulnerabilidad en la seguridad de las extensiones de los nombres de archivos en el crate fruity para Rust (CVE-2021-43620)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

15/11/2021

Última modificación:

18/11/2021

Descripción

Se ha detectado un problema en el crate fruity versiones hasta 0.2.0, para Rust. Una comprobación relevante para la seguridad de las extensiones de los nombres de archivos está plausiblemente afectada. Los métodos de NSString para la conversión a una cadena pueden devolver un resultado parcial. Debido a que llaman a CStr::from_ptr en un puntero al buffer de la cadena, la cadena se termina en el primer byte "\0", que podría no ser el final de la cadena

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

7.50

Gravedad 3.x

ALTA

Vector 2.0

AV:N/AC:L/Au:N/C:N/I:P/A:N CVSS v2.0 Severidad y Métricas:

Puntuación base: 5.00 MEDIA
Vector: AV:N/AC:L/Au:N/C:N/I:P/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Autenticación (Au): Ninguno
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Físico
Impacto a la disponibilidad (A): Ninguno