Vulnerabilidad en Contiki-NG (CVE-2022-36052)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-125 Lectura fuera de límites

Fecha de publicación:

01/09/2022

Última modificación:

07/09/2022

Descripción

Contiki-NG es un sistema operativo de código abierto y multiplataforma para dispositivos IoT de Próxima Generación. La implementación de 6LoWPAN en Contiki-NG puede lanzar una estructura de encabezado UDP en un determinado desplazamiento en un búfer de paquetes. El código no comprueba si el búfer de paquetes es lo suficientemente grande como para que quepa una estructura de encabezado UDP completa a partir del desplazamiento en el que es realizado el casting. Por lo tanto, es posible causar una lectura fuera de límites más allá del buffer de paquetes. El problema afecta a cualquiera que ejecute dispositivos con Contiki-NG versiones anteriores a 4.8, y que puedan recibir paquetes 6LoWPAN de partes externas. El problema ha sido parcheado en Contiki-NG versión 4.8

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto