Vulnerabilidad en el paquete open62541/open62541 (CVE-2022-25761)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
23/08/2022
Última modificación:
07/11/2023
Descripción
El paquete open62541/open62541 versiones anteriores a 1.2.5, a partir de la 1.3-rc1 y anteriores a 1.3.1, son vulnerables a una Denegación de Servicio (DoS) debido a una falta de limitación del número de chunks recibidos - por sesión única o en total para todas las sesiones concurrentes. Un atacante puede explotar esta vulnerabilidad mediante el envío de un número ilimitado de chunks enormes (por ejemplo, 2GB cada uno) sin enviar el chunk de cierre Final.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:open62541:open62541:*:*:*:*:*:*:*:* | 1.2.5 (excluyendo) | |
| cpe:2.3:a:open62541:open62541:1.3:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:open62541:open62541:1.3:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:open62541:open62541:1.3:rc2-ef:*:*:*:*:*:* | ||
| cpe:2.3:a:open62541:open62541:1.3:rc2-ef2:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/open62541/open62541/commit/b79db1ac78146fc06b0b8435773d3967de2d659c
- https://github.com/open62541/open62541/pull/5173
- https://github.com/open62541/open62541/releases/tag/v1.2.5
- https://github.com/open62541/open62541/releases/tag/v1.3.1
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/JNUV4FDVDBQHCPMOOEVKLMQK5SLKPK2L/
- https://security.snyk.io/vuln/SNYK-UNMANAGED-OPEN62541OPEN62541-2988719