Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Nintendo NetworkBuffer (CVE-2022-47949)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-120 Copia de búfer sin comprobación del tamaño de entrada (Desbordamiento de búfer clásico)
Fecha de publicación:
24/12/2022
Última modificación:
06/01/2023

Descripción

La clase Nintendo NetworkBuffer, tal como se usa en Animal Crossing: New Horizons anterior a 2.0.6 y otros productos, permite a atacantes remotos ejecutar código arbitrario a través de un gran paquete UDP que provoca un desbordamiento del búfer, también conocido como ENLBufferPwn. La víctima deberá unirse a una sesión de juego con el atacante. Otros productos afectados incluyen Mario Kart 7 antes de 1.2, Mario Kart 8, Mario Kart 8 Deluxe antes de 2.1.0, ARMS antes de 5.4.1, Splatoon, Splatoon 2 antes de 5.5.1, Splatoon 3 antes de finales de 2022, Super Mario Maker 2 antes de 3.0 .2 y Nintendo Switch Sports antes de finales de 2022.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:nintendo:animal_crossing\:_new_horizons:*:*:*:*:*:*:*:* 2.0.6 (excluyendo)
cpe:2.3:a:nintendo:arms:*:*:*:*:*:*:*:* 5.4.1 (excluyendo)
cpe:2.3:a:nintendo:mario_kart_7:*:*:*:*:*:*:*:* 1.2 (excluyendo)
cpe:2.3:a:nintendo:mario_kart_8:*:*:*:*:deluxe:*:*:* 2.1.0 (excluyendo)
cpe:2.3:a:nintendo:mario_kart_8:-:*:*:*:-:*:*:*
cpe:2.3:a:nintendo:splatoon:*:*:*:*:*:*:*:*
cpe:2.3:a:nintendo:splatoon_2:*:*:*:*:*:*:*:* 5.5.1 (excluyendo)
cpe:2.3:a:nintendo:splatoon_3:*:*:*:*:*:*:*:*
cpe:2.3:a:nintendo:super_mario_maker_2:*:*:*:*:*:*:*:* 3.0.2 (excluyendo)
cpe:2.3:a:nintendo:switch_sports:*:*:*:*:*:*:*:*


Referencias a soluciones, herramientas e información